[HACK] Proyecto de Análisis Forense: Recogida de datos "in situ" para Linux

[Antonio Sanz]

Muy buenas a todos ...

Estoy planteándome la posibilidad de abrir una mini línea de investigación 
dentro del ámbito de la informática forense.

He investigado un poco, y me parece muy interesante el hecho de la recogida 
de datos "en caliente", es decir, cuando el sistema se encuentra 
comprometido y no se ha procedido a su apagado y "congelación".

Este punto es bastante peliagudo pq se puede recoger gran cantidad de 
información vital que se pierde cuando se apaga el equipo, pero tb se corre 
el riesgo de manipular el propio sistema sobre el q se trabaja.

Mi idea inicial era tener un CD con herramientras linkadas estáticamente, 
que mediante una serie de scripts recogieran una serie de información y la 
volcaran a un disquete (o a un llavero USB si es posible), para tocar lo 
menos posible el equipo infectado.

Estoy MUY interesado en dos vertientes: las implicaciones que esta recogida 
de información pueden tener sobre el sistema (hasta qué punto es manipulado 
), y sobre todo las posibilidades legales del mismo.

La intención final sería tener un conjunto de herramientas que pudieran 
automatizar el proceso de recogida de información de un sistema 
comprometido, conservando la validez tanto de la evidencia recogida como de 
la que quede residente en el propio equipo.

Un saludo,

-----------------------------------------------------------------------------------------------------
Antonio Sanz Alcober -  Analista informático del I3A
Profesor Asociado del Area de Ingenieria Telematica
(Comercio Electrónico / Criptografia y Seguridad en Comunicaciones)
Email: ansanz at posta.unizar.es - Tel: 976 76 27 07
PGP keyId: 0xF0FE4E72   --   http://i3a.unizar.es
-----------------------------------------------------------------------------------------------------