Formato de Reporte para Forense de Computadoras
La meta principal del forense de computadoras es realizar una investigación estructurada sobre un dispositivo de cómputo, para averiguar lo sucedido o quien es el responsable de lo sucedido, manteniendo una cadena de evidencia documentada adecuada en un reporte formal. La sintaxis o plantilla de un reporte forense de computadoras es el siguiente:
Resumen Ejecutivo
Esta sección proporciona datos de fondo sobre las condiciones las cuales necesitan un requisito para la investigación. El resumen es leído por la alta por el gerente senior , quien no leerá el reporte detallado. Esta sección debe contener una descripción corta, detalles, y puntos importantes. Esta sección podría tener una página de largo. El Resumen Ejecutivo consta de lo siguiente:
- Tener en consideración quien autorizó el examen forense
- Listado de las evidencias significativas con un detalle corto
- Explicar porque era necesario un examen forense de dispositivos de cómputo
- Incluir un bloque de firma para los examinadores quienes realizaron el trabajo
- Nombre completo, legítimo y propio de todas las personas quienes estan relacionadas o involucradas en el caso, Cargos, fechas iniciales de contactos o comunicaciones
Objetivos
Esta sección se utiliza para delinear todas las tareas planeadas a completar para una investigación. En algunos casos puede ocurrir el examen forense no realice una investigación completa cuando revise el contenido de los medios. La lista del plan preparado debe ser discutida y aprobada por el consejo legal, quienes toman decisiones, y el cliente antes de cualquier análisis forense. Esta lista debe consistir de las tareas realizadas y el método realizado por un examinador para cada tarea, además del estado de cada tarea al final del reporte.
Evidencia informática analizada
Esta sección es donde se presentan toda la evidencias recopilada y sus interpretaciones. Proporciona información detallada relacionada con la asignación de números para etiquetado de evidencia, descripción de evidencia, y números de serie de los medios.
Hallazgos relevantes
Esta sección brinda un resumen de las elementos de evidencia encontradas con valor probatorio, cuando se encuentra una coincidencia entre el material de ciencia forense recuperado desde la escena de un incidente, por ejemplo; una huella digital, un mechón de cabello, una huella de zapato, etc. además una muestra de referencia proporcionada por un sospechoso del caso, la coincidencia se considera ampliamente como una fuerte evidencia de el sospechoso es la fuente del material recuperado. Sin embargo, el valor probatorio de la evidencia puede variar ampliamente según la forma en la cual se caracterice la evidencia, y la hipótesis de su interés. Responde a preguntas como "¿Cuales objetos o elementos relacionados se encontraron durante la investigación del caso?".
Detalles de Apoyo
Es la sección donde se realiza un análisis en profundidad sobre los hallazgos relevantes. '¿Cómo encontramos las conclusiones descritas en Hallazgos relevantes?', esto se describe en esta sección. Contiene una tabla de archivos vitales con un nombre de ruta completo, resultados de búsquedas de cadenas, correos electrónicos/URL revisados, número de archivos revisados, y cualquier otro dato relevante. Todas las tareas realizadas para cumplir las metas se describen en esta sección. Aquí se enfoca más en la profundidad técnica. Incluye gráficos, tablas, e ilustraciones, pues transmite mucho más comparado con textos escritos. Para cumplir con las metas descritas también se incluyen muchas subsecciones. Esta sección es la más extensa. Comienza proporcionando detalles de fondo sobre los medios analizados. No es fácil reportar la cantidad de archivos revisados y el tamaño del disco duro en un lenguaje comprensible para los humanos. Por lo tanto, el cliente debe saber cuántos datos requiere revisar para llegar a una conclusión.
Pistas de Investigación
Realiza elementos de acción los cuales podrían ayudar a descubrir información adicional relacionada con la investigación del caso. Los investigadores realizan todas las tareas pendientes para encontrar información adicional si queda más tiempo. La sección de pistas de investigación es muy importante para la aplicación de la ley. Esta sección sugiere tareas adicionales las cuales descubren información necesaria para avanzar en el caso. Por ejemplo averiguar si hay registros de cortafuegos datan lo suficientemente atrás como para dar una imagen correcta sobre los ataques potencialmente suscitados. Esta sección es importante para un consultor forense contratado.
Subsecciones Adicionales
Varias subsecciones adicionales se incluyen en un reporte forense. Estas subsecciones dependen de los requerimientos de los clientes y sus necesidades. Las siguientes subsecciones son útiles en casos específicos:
Metodología del atacante
En esta sección se brinda información adicional para ayudar al lector a comprender los ataques generales o exactos realizados. Esta sección es útil en casos de intrusión a computadoras. Aquí se realiza la inspección de como se realizan los ataques y cuales partes de los ataques se ven en los registros de eventos estándar.
Aplicaciones de usuario
En esta sección se abarcan las aplicaciones relevantes instaladas en los medios analizados, porque se observa en muchos casos las aplicaciones presentes en el sistema son muy relevantes. Asignar un título a esta sección, si se está investigando cualquier sistema utilizado por un atacante, por ejemplo, herramientas de ataque cibernético.
Actividad en Internet
Esta sección brinda el historial de navegación web del usuario desde los medios analizados. El historial de navegación también es útil para sugerir intenciones, descargas de herramientas maliciosas, espacio no asignado, búsquedas en línea, descargas de programas eliminados de forma segura, o programas de eliminación de evidencia, los cuales borran archivos residuales y archivos temporales, los cuales frecuentemente albergan pruebas muy importantes para una investigación.
Recomendaciones
Esta sección brinda recomendaciones para el cliente esté más preparado y capacitado contra el próximo incidente de seguridad de computadoras. Investigar algunas contramedidas basadas en host, basadas en red, y de procedimiento, los cuales se proporcionan a los clientes para reducir o eliminar el riesgo en incidentes de seguridad.
Fuentes:
https://www.geeksforgeeks.org/computer-forensic-report-format/
Sobre el Autor
Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
WhatsApp: https://wa.me/51949304030
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
Youtube: https://www.youtube.com/c/AlonsoCaballero
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/