Manejo de dispositivos y procesamiento y análisis de evidencia digital

Uso de criterios predefinidos

Este protocolo cubrirá todos los pasos necesarios para cumplir con la orden judicial adjunta en el caso firmado por la juez. Específicamente, el protocolo definido abarca todos los pasos tomados desde el inicio de la recopilación hasta la notificación del caso si se solicita y cada área a continuación se describe en detalle.

Colección

  • Adquisición / Imágenes
  • Análisis
  • Reportando
  • Colección

Antes de mover el dispositivo de almacenamiento o la fuente de datos, como un disco duro, dispositivo móvil, datos en la nube, cuentas de redes sociales u otra forma de datos digitales, se documentará y / o fotografiará la documentación adecuada del proceso de recopilación.

1. Cree un registro histórico del acceso del personal, la condición y la ubicación del dispositivo de almacenamiento o la fuente de datos. Documente la transferencia de la evidencia de un lugar a otro o de persona a persona en un formulario de cadena de custodia aprobado por el bufete de abogados o el abogado.

2. Conexiones: dispositivos de almacenamiento o fuentes de datos, como USB, microSD, tarjetas SD, unidades GPS, CD / DVD, discos duros, unidades GPS, dispositivos móviles, relojes inteligentes, etc., deberán estar conectados a una computadora portátil u otro dispositivo capaz de imagen del dispositivo de almacenamiento o fuente de datos o datos basados en la nube. En los casos civiles en los que el dispositivo en sí se devolverá al propietario y se utilizará después de la toma de imágenes, las adquisiciones en vivo utilizando dispositivos de recolección como una unidad USB con software de imágenes serán el método preferido en lugar de desarmar el dispositivo y quitar el unidad de almacenamiento o medio.

3. Para preservar el estado actual del dispositivo de almacenamiento o la fuente de datos, evite el uso innecesario del dispositivo de almacenamiento o la fuente de datos mientras se crean imágenes. No:

  • Busque manualmente el dispositivo utilizando herramientas o técnicas no forenses
  • Uso o haga clic en 3 rd aplicaciones -partido o aplicaciones instaladas en el propio dispositivo
  • Intente desbloquear / bloquear a menos que sea necesario para acceder y obtener imágenes
  • Aplique energía al dispositivo a menos que sea necesario para acceder y obtener imágenes
  • Tenga cuidado y tenga cuidado al manipular dispositivos de almacenamiento móviles o fuentes de datos con pantallas táctiles y botones laterales.
  • Para evitar presionar botones, manipule el dispositivo de almacenamiento o la fuente de datos por las esquinas o con cuidado para evitar acciones involuntarias del dispositivo.
  • Los botones laterales pueden ser personalizables y el propietario puede haberlos cambiado. No se pueden hacer suposiciones sobre el propósito previsto de un botón en particular.

5. Si corresponde, use una fuente de energía mientras crea imágenes del dispositivo de almacenamiento o la fuente de datos para evitar que se apague durante el proceso de recolección.

6. Antes de tomar imágenes de un dispositivo móvil, verifique que el dispositivo no esté conectado a WiFi, Bluetooth, celular o GPS para eliminar todas las transmisiones de datos entrantes y salientes o posibles cambios de datos.

7. Si corresponde, ubique el «bloqueo automático» o el «tiempo de espera de la pantalla», establezca en «nunca» o el tiempo máximo permitido para evitar que el dispositivo se bloquee durante la captura de imágenes.

8. Documente o notifique al custodio del dispositivo o al propietario de cualquier cambio que se realice en la configuración original del dispositivo de almacenamiento o la fuente de datos para que pueda optar por restablecerlos después del proceso de generación de imágenes.

Adquisición / Imágenes

La generación de imágenes es el proceso de crear una copia forense y / o una imagen instantánea y / o una colección lógica de archivos / carpetas y / o datos basados en la nube, como redes sociales o servicios en la nube, incluidos WhatsApp, iCloud, Google, Microsoft, Mi Cloud, Huawei. , Samsung, servidores de correo electrónico (IMAP) y más. Antes de realizar el proceso de adquisición, es necesario tener una orden judicial firmada o el consentimiento para buscar de una persona con autoridad de consentimiento.

1. Orden de registro: Una orden de registro es una orden judicial emitida por un juez o magistrado que otorga permiso y autoriza al bufete de abogados, al abogado o al Perito a realizar una búsqueda en un dispositivo de almacenamiento o fuente de datos.

2. Consentimiento para la búsqueda: Solo se necesita un formulario de consentimiento firmado para la búsqueda obtenido del propietario o custodio para Adquirir / Imagen del dispositivo.

3. Durante los pasos de adquisición / obtención de imágenes , el personal deberá:

  • Asegúrese de que el medio de almacenamiento de destino esté limpio forense o esterilizado digitalmente de cualquier dato almacenado previamente, mediante la realización de un proceso forense llamado «borrado» en el medio de origen.
  • Al formatear la unidad, se utilizará un volumen cifrado con Veracrypt u otro programa de cifrado para proteger los datos si los datos se van a enviar o colocar en un área que podría provocar su robo o pérdida accidentalmente.
  • Formatee la ubicación / los medios de almacenamiento de volumen borrados y cifrados utilizando la Tabla de asignación de archivos extendida de Windows (exFAT).
  • Cree una carpeta en el medio de almacenamiento forense limpio con un nombre único relativo al asunto, pero no use títulos que no identifiquen, en parte, la fuente de origen o el nombre / número del caso; A continuación se enumeran dos ejemplos: 2020_2_10_devicename / model_forensicimagename_1TB. Las informaciones que se pueden incluir son:
  • Nombre del propietario del dispositivo y / o número de caso
  • Nombre / modelo del dispositivo (evidencia y / o número de serie, si es posible)
  • Nombre / tipo de datos extraídos (disco duro, USB, nube, FaceBook, WhatsApp, etc.
  • Tamaño de la fuente de datos ya sea lógico, físico o indicado
  • Número de elemento de prueba
  • Dirección del lugar donde se recopilaron los datos
  • Ejecute la herramienta / software forense (FTK Imager Lite, Oxygen Detective, Magnet Axiom, etc.) para adquirir o crear una imagen del dispositivo de almacenamiento o la fuente de datos y completar el proceso de obtención de imágenes.
  • Durante el proceso inicial de adquisición / imagen, la herramienta / software permitirá la inclusión de una firma única o «huella digital» de los datos extraídos y / o archivo de imagen. Esta firma única se llama firma hash. Si es aplicable al asunto, como mínimo, el examinador deberá obtener un valor hash MD5 para los datos adquiridos.
  • Una vez completada, verifique que la adquisición / imagen sea legible y accesible por software forense.

Análisis

Utilice software / herramientas apropiados de acuerdo con la capacitación y / o certificación. Durante el análisis, el filtrado de datos se puede aplicar si lo exige el tribunal o si se aprueban acuerdos mutuos.

El análisis incluirá todas las áreas que contienen datos eliminados o no eliminados y todos los tipos de datos utilizando los criterios de orden judicial que se enumeran a continuación. Como ejemplo, una búsqueda de computadora incluirá todas las áreas siguientes de un disco duro en un entorno Windows:

1. Al filtrar datos utilizando criterios de fecha y hora, el análisis se realizará con un rango de fecha y hora definido. Específicamente, en este caso el rango de fecha y hora conocido como Período de Tiempo Relevante es:

  • Cualquier búsqueda de los dispositivos de la ex esposa se limita al período de tiempo comprendido entre el 31 de agosto de 2020 y el 6 de septiembre, excepto como se establece en el Párrafo 5 de este documento. Este período de tiempo se refleja a continuación como la configuración real que se utilizará dentro del software forense:

2. Filtrar evidencia basada en palabras clave o listas de palabras clave. Puede apilar palabras clave o listas de palabras clave para refinar aún más sus resultados. Una vez que se agregan palabras clave o listas de palabras clave al proceso de análisis, esas listas y palabras clave aparecen como opciones de filtrado.

Los informes pueden ser verbales y / o escritos y / o en un formato solicitado por el tribunal, bufete de abogados o abogado, o el cliente

Scroll al inicio