Analisi forentse digital

Wikipedia, Entziklopedia askea


Forentse-informatika, auzitegi-konputazioa edo auzitegi-azterketa digitala, teknika zientifiko eta analitiko espezializatuak aplikatzen zaizkie azpiegitura teknologikoei, legezko prozesu baten barruan datu baliagarriak identifikatu, zaindu, aztertu eta aurkezteko.

Teknika horien artean daude elementu informatikoak berreraikitzea, hondar-datuak aztertzea, datuak autentifikatzea eta datuen eta ondasun informatikoen erabileraren ezaugarri teknikoak azaltzea.

Diziplina horrek puntako teknologiak erabiltzen ditu datuen osotasuna eta prozesamendua mantentzeko; horrez gain, informatikaren eta sistemen arloan espezializazio eta ezagutza aurreratuak behar ditu, edozein gailu elektronikoren barruan zer gertatu den detektatu ahal izateko. Auzitegiko informatikariaren prestakuntzak softwarea ezagutzeaz gain, hardwarea, sareak, segurtasuna, pirateria eta informazioa berreskuratzea ere barne hartzen ditu.

Auzitegiko informatikak laguntzen du mezu elektronikoetan eta txatetan eraso informatikoei, informazio-lapurretei, elkarrizketei edo ebidentziei buruzko aztarnak detektatzen.

Ebidentzia digitala edo elektronikoa oso hauskorra da, eta horregatik da garrantzitsua osotasuna mantentzea. Artxibo batean bi aldiz sakatze hutsak fitxategira sartzeko azken data aldatuko luke.

Forentse-informatikaren prozesuaren barruan, auzitegi-aztertzaile digital batek sistema eragiletik ezabatu den informazioa berreskura dezake. Auzitegiko informatikariak oso gogoan izan behar du Locarden trukearen printzipioa, analisi kriminalistikoan duen garrantziagatik, baita Dauberten estandarra ere, auzitegiko perituak epaiketa batean aurkeztutako frogak onargarri egiteko.

Oso garrantzitsua da aipatzea informatikaren edo auzitegiaren helburua ez dela delituak prebenitzea, eta, beraz, ezinbestekoa da auzitegi-informatikaren, informatika-segurtasunaren eta informatika-auditoretzaren jarduera-esparruak argi izatea.

Terminologia[aldatu | aldatu iturburu kodea]

Auzitegiko zientziari buruzko hainbat termino daude informatikan. Termino horietako bakoitzak auzitegi-zientzientzat interesgarriak diren gaiak jorratzen ditu, modu berezian edo orokorrean.

  • Auzitegiko konputazioa (computer forensics)
  1. Auzitegi-zientziaren diziplina; baliabide informatikoetan informazioa aurkitu eta interpretatzeko ebidentziekin lotutako prozedurak aztertzen ditu, kasu batekin lotutako hipotesiak edo gertaerak ezartzeko. (Forentseen kontsiderazioetan zentratua) .
  2. Teknologien eta konputazio-ekipoen ulermenetik abiatuta, daukaten informazioaren analisia eskaintzen duen diziplina zientifikoa. (Teknologian zentratua).
  • Sareko auzitegi-analisia (network forensics)

Konputagailu-sareetako eragiketak tratatzen ditu, arrastoak ezarrita eta mugimenduak eta ekintzak identifikatuta. Komunikazioen protokoloak, konfigurazioak eta azpiegitura ulertu behar dira. Auzitegi-konputazioan ez bezala, beharrezkoa da gertaera desberdinen arteko erlazioak ezartzea, baita ausazkoak ere.

  • Auzitegiko zientzia digitala (digital forensics):
  1. Kriminalistikaren kontzeptu eta prozedurak bitarteko informatiko edo digitalei aplikatzeko modu bat da. Justiziari laguntzea du helburu, segurtasun informatikorik ezaren testuinguruan, hau da, balizko delituak egitea istilu edo iruzurrekin zerikusia duten gaiak argitzean.

Auzitegiko informatikaren helburuak

Auzitegiko informatikak hiru helburu ditu:

  • Barneratuek edo kriminalek eragindako kalteen konpentsazioa.
  • Kriminalen jazarpen eta auzipetze judiziala.
  • Antzeko kasuak prebenitzeko neurriak sortzea eta aplikatzea.

Helburu horiek hainbat modutan lortzen dira, eta ebidentzien bilketa da nagusia.

Garrantzitsua da aipatzea horretan dihardutenek etika maila handiko profesionalak izan behar dutela, haien lanari esker hartzen baitira aztertutako gertakariei eta kasuei buruzko erabakiak.

Auzitegi-analisi prozesuaren urratsak[aldatu | aldatu iturburu kodea]

Ordenagailu baten azterketa forentsearen prozesua jarraian deskribatzen da:

Identifikazio edo babestea[aldatu | aldatu iturburu kodea]

Oso garrantzitsua da "HotFix" ikerketaren aurrekariak, egungo egoera eta jarraitu nahi den prozesua ezagutzea, bilaketei eta estrategiei buruzko erabakirik onena hartu ahal izateko (ondo programatuta eta sinkronizatuta egon behar duzu egin beharreko jarduerekin, lokalizatu beharreko informazio-erregistroak ateratzeko tresnekin). Askotan (une jakin batean, ziurtasuna behatzea, interpretatzea eta aplikatzea, hau da, ikerketa eragiten duen irizpide profesionala) ondasunaren identifikazioa, sare barruko erabilera, zaintza-katearen hasiera (ebidentziaren osotasuna eta erabilera egokia egiaztatzen duen prozesua), ondasuna babesten duen lege-ingurunearen berrikuspena eta emaitzak berrikusi ondoren hurrengo urratsari dagokionez erabakiak hartzeko laguntza.

Gordetze edo eskuratzea[aldatu | aldatu iturburu kodea]

Urrats horren barruan, ebidentziaren irudi forentseak berrikusi eta sortuko dira, azterketa egin ahal izateko. Bikoizketa hori puntako teknologia erabiliz egiten da, ebidentziaren osotasunari eta behar den zaintza-kateari (euskarriak) eutsi ahal izateko. Auzitegiko irudi bat egitean, disko gogor osoaren "bit-a-bit" (kopia bitarra) kopia bat sortzeko behar den prozesuaz ari gara. Horri esker, disko gogorreko informazio guztia berreskuratu eta ezabatu ahal izango da hurrengo urratsean. Disko gogorraren kutsadura saihesteko, normalean hardware-idazketaren blokeatzaileak okupatzen dira, diskoarekin irakurketa-kontaktua saihesten dutenak, eta horrek nahi ez den alterazioa eragingo luke hedabideetan.

Azterketa[aldatu | aldatu iturburu kodea]

Auzitegi-prozesuaren bidez bikoiztutako bitartekoei teknika zientifikoak eta analitikoak aplikatzeko prozesua, jokabide jakin batzuen frogak aurkitu ahal izateko. Karaktere-kateen bilaketak egin daitezke, makinaren erabiltzaileen ekintza espezifikoak, hala nola USB gailuak erabiltzea (marka, modeloa), fitxategi espezifikoak bilatzea, posta elektronikoak berreskuratzea eta identifikatzea, bisitatutako azken guneak berreskuratzea, Interneteko nabigatzailearen cachea berreskuratzea, etab.

Aurkezpena[aldatu | aldatu iturburu kodea]

Txosten hau eskatzen duten abokatuei, epaileei edo instantziei txostena egiteko eta aurkezteko analisian oinarrituta lortutako informazio guztia biltzea da, peritu bat sortzea (hala badagokio) eta teknizismoak erabili gabe behar bezala interpretatzea; dokumentazioa zuhurtasunez, zuhurtziaz eta diskretuz aurkeztu beharko zaio eskatzaileari, beti egongo baitira atzeko ateak behatzen ari den sistemaren barruan, eta oso espezifikoa izan behar du ikerketa egiteko eta komunikatzeko plataforma bat, eta hori oso espezifikoa izan behar da behatzen ari den sistemaren barruan. Kontu handiz eman beharko da eman beharreko informazioa, plataformen eta sistemen arabera erabiltzen baita prestigio teknikoa.

Bere lana arrakastaz egin ahal izateko, ikertzaileak ez du inoiz ahaztu behar:

Inpartziala izatea. Aurkitutakoa aztertzea eta jakinaraztea baino ez.

Ikerketa formal bat egitea ezagutzarik eta esperientziarik gabe.

Zaintza-kateari eustea (ebidentziaren osotasuna eta erabilera egokia egiaztatzen duen prozesua).

Egindako jarduera oro dokumentatzea.

Espezialistak honako hauek ere ezagutu behar ditu:

Lehergailuen garapena (ahuleziak); horri esker, auzitegiko informatikariak jakin dezake zer programa mota jarriko diren modan, portaera-patroiak behatu ahal izateko azterketa-oinarri bat sortzeko.

Kanpo estekak[aldatu | aldatu iturburu kodea]