Basado en el Manual
de Entrenamiento de la Agencia de Identificación Criminal e Investigación de
Evidencia Física de Ohio - edición 2000
1. Poseer una orden
judicial en el que se especifique el secuestro del sistema.
2. Despejar el área
asegurándose que nadie tenga acceso a la computadora o sus alrededores.
3. Si la computadora
se encuentra apagada, NO LA ENCIENDA. Al encenderla pueden activarse sistemas
que causarían la destrucción de la información.
4. Si la computadora
se encuentra encendida, fotografíe la pantalla.
5. Deshabilite la
energía desde su fuente.
Dependiendo del
Sistema Operativo involucrado, esto generalmente significa desenchufar la
fuente o cerrar el sistema usando los comandos del Sistema Operativo. Sin
embargo, debe tenerse en cuenta los posibles procesos destructivos que puedan
estar activados . Estos pueden estar operando desde la memoria o accesibles a
través de un módem o conexión de red. Dependiendo también del Sistema
Operativo, puede agregarse un protector de pantalla con contraseña que se
activará en cualquier momento, lo que puede complicar el apagado de la
computadora. Generalmente, el tiempo es crítico, y el sistema debe cerrarse o
apagarse lo más rápido posible.
6. Deshabilite o
desconecte el módem.
7. Desconecte la
fuente de la impresora.
8. Inserte un
diskette en la diskettera y cúbralo con cinta de evidencia.
9. Fotografíe las
conexiones de todos los equipos.
Se asume que la
computadora será removida a una locación segura con una cadena de custodia
apropiada y donde el procesamiento de la evidencia pueda comenzar. Antes de
desmantelar el sistema, es importante que se tomen fotografías de todos los
ángulos para documentar todos los componentes de hardware y como se encuentran
conectados. Las computadoras idealmente deberían procesarse en una
reconstrucción idéntica a la original.
10. Rotule todas las
conexiones de todos los equipos para así poder reestablecer la configuración
original.
11. Fotografíe todas
las conexiones y luego diagrámelas.
12. Fotografíe el
área luego de que el gabinete ha sido removido.
13. Investigue el
área en busca de contraseñas u otra información relacionada.
14. Secuestre todos
los libros, notas, manuales, software, diskettes y discos, sistemas de
almacenamiento y todo ítem relacionado al sistema. Coloque todos los discos en
sobres de material que no conduzca la estática (papel). Realice un inventario
de todo lo secuestrado.
15. Interrogue a
todos los sospechosos que puedan tener conocimiento del sistema, informacion
operacional y todo tema relacionado.
16. Transporte la
evidencia. NO coloque ningun elemento cerca de Fuentes electromagnméticas tales
como radios policiales.
17. Transporte la
Computadora a un lugar seguro.
Demasiado
frecuentemente las computadoras son almacenadas en lugares menos que seguros.
Es imperativo que el sistema sea tratado como evidencia y debería ser guardado
fuera del alcance de usuarios curiosos. Muchas veces, individuos operan
computadoras que han sido secuestradas sin saber que están destruyendo
potencial evidencia y la cadena de custodia. Más aún, estas computadoras que no
son correctamente vigiladas puede ser fácilmente comprometidas. Puede plantarse
evidencia así como aquella que es vital puede ser destruida intencionalmente.
La falta de una cadena de custodia apropiada puede salvar a un Abogado Defensor
perspicaz. De no ser suficientemente cuidadoso en este asunto, ¿cómo puede
asegurarse que la evidencia relevante no ha sido alterada o plantada luego del
secuestro? La respuesta es simple. No se puede. Nunca deje el sistema fuera de
la custodia a menos que se encuentre bajo llave en un lugar seguro.
18. Realice copias de
seguridad de todos los canales de bits, Discos Rígidos y Diskettes.
La computadora no
debe ser operada ni procesada para su análisis hasta que se hayan realizado
copias de todos los discos rígidos, y diskettes. Toda la recuperación forense
debe ser realizada en las copias y no en los discos originales. La evidencia
original no deberá tocarse a menos que existan circunstancias extremas que así
lo demanden. La preservación de la evidencia es vital. Es frágil y puede ser
fácilmente alterada o destruida. Muchas veces esta alteración puede ser
irreversible.
19. Autentifique
Matemáticamente la Información de todos los Sistemas de Almacenamiento.
Usted querrá poder
probar que no ha alterado nada de la evidencia luego de que la computadora
llego a su posesión. Tal prueba le ayudará para negar alegatos de que ha
cambiado la información original. Desde 1989, las agencias militares y
policiales han usado procesos matemáticos de 32 bits para realizar procesos de
autentificación. Matemáticamente, una validación de 32 bits de datos es precisa
aproximadamente en una en 4.3 billones. Sin embargo, dadas las velocidades y
tamaños de los discos actuales, este nivel de precisión ya no es suficiente.
Éste puede ser fácilmente comprometido. POr lo tanto, se recomiendo estar
constantemente atento a las actualizaciones que las compañías informáticas
realizan sobre los sistemas de actualización.
20. Siempre mantenga
presente, las computadoras son evidencia. La evidencia debe ser preservada en
su estado original. Cuando la información es analizada, los datos de los
archivos pueden cambiar, lo que puede ser relevante en un proceso judicial. Los
sistemas tradicionales para realizar copias de seguridad no captan toda la
información en un sistema, y parte de la información puede perderse. Por favor
comuníquese con las Unidades de Delitos Informáticos ante cualquier duda.
Bibliografía:
No hay comentarios.:
Publicar un comentario