Si un log tiene la capacidad de registrar los eventos W5 entonces el propósito de un log es proveer a los profesionales de seguridad informática la habilidad de monitorear las actividades de la aplicación o dispositivo. Revisando las salidas de los archivos de logs, se puede obtener una buena oportunidad para determinar los eventos W5, y tomar la acción necesaria para corregir el problema o iniciar una investigación en caso de un incidente de seguridad.
Evidencia computacional en general. [5]
Evidencia derivada de los computadores tiene muchas características similares a otros tipos de evidencia. Miller[[http://www.wikilearning.com/editor/editor/fckeditor.html?InstanceName=TA&Toolbar=Default#_ftn2 [2]]] provee una explicación acerca de esto:
Evidencia es información utilizada para decidir si las proposiciones utilizadas en una disputa son ciertas. Una corte no puede normalmente obtener evidencia directamente. Para tal caso una fuente es utilizada como documento o un testigo. La veracidad de la información es asegurada o comprobada mediante una prueba de confiabilidad de la fuente. Si son usados testigos, estos son examinados y confrontados; si es utilizado un documento como evidencia, un testigo es consultado para corroborar la autenticidad del documento y dará testimonio oral sobre su contenido.
Una definición similar se puede obtener de Wright[[http://www.wikilearning.com/editor/editor/fckeditor.html?InstanceName=TA&Toolbar=Default#_ftn3 [3]]]:
Evidencia es cualquier cosa que demuestre o clarifique la verdad de un hecho o punto en cuestión. Un proponente puede ofrecer muchos tipos de de evidencia: documentos, objetos, testimonios y el resultado de una demostración de procedimientos prácticos y científicos.
La evidencia debe persuadir para lograr ser útil y contar con los siguientes tres conceptos: [5]
§ Autenticidad: que esta especial y totalmente relacionada con las circunstancias y personas involucradas en los eventos.
§ Exactitud: Libre de cualquier duda razonable acerca de la calidad y procedimientos utilizados para recolectar el material y para analizarlo, si esto era necesario y apropiado, (esto debe realizarlo un profesional que posteriormente pueda explicar el trabajo o análisis realizado) y finalmente poderlo llevar a corte.
§ Suficiencia: Detalla con los términos adecuados una completa historia de un conjunto de circunstancias particulares o eventos.
Como la evidencia computacional es diferente. [5]
También se pueden encontrar muchos elementos en los cuales la evidencia derivada de computadores es diferente:
§ Los datos almacenados en computadores cambian rápidamente a lo largo del tiempo: Muchas formas de evidencia convencional son necesariamente un “snapshot[[http://www.wikilearning.com/editor/editor/fckeditor.html?InstanceName=TA&Toolbar=Default#_ftn4 [4]]]” de una particular secuencia de circunstancias. Esto puede crear considerables dificultades sobre la autenticidad de la evidencia, en especial el contenido y el tiempo de creación.
§ Los datos almacenados en medio digital pueden ser fácilmente modificados sin dejar rastro alguno de la actividad: Las alteraciones a mano escrita y en documentos escritos son en si mismo una evidencia; por ejemplo los libros de contabilidad son diseñados de tal forma que una modificación o la falta de un folio es fácilmente notada. Desde luego que es totalmente posible diseñar un sistema computacional el cual confirme alteraciones a archivos, pero esto comparado con los estándares existentes de medios escritos para control de cambios, es considerablemente menor.
§ El material de evidencia puede ser fácilmente alterado como resultado de procedimientos de recolección de la misma: Muchas formas de examen forense corren el riesgo de contaminar la evidencia. Los problemas derivados de la manipulación de archivos son muchos, desde el punto de vista de evidencia, la simple ejecución de una aplicación o la apertura de un archivo, sin la intención de modificarlo, puede crear cambios imperceptibles.
§ Mucha de la evidencia computacional no es legible por los humanos: Actualmente la exhibición de los datos es un proceso en el cual los datos son manipulados y presentados de acuerdo a un estándar establecido, partiendo de la fuente de origen. Más fácilmente, la traza de ADN[[http://www.wikilearning.com/editor/editor/fckeditor.html?InstanceName=TA&Toolbar=Default#_ftn5 [5]]] que se exhibe normalmente no es el ADN en si, es una representación del mismo que facilita la interpretación. El problema en particular radica en las múltiples representaciones que se pueden realizar de los datos originales. Inicialmente se parte de un disco duro que contiene los datos en archivos de diferentes clases, para llevar a cabo un análisis, en muchas ocasiones es necesario presentarlo en medios diferentes ya sea impreso o en una pantalla, lo cual podrá variar la representación del mismo dependiendo del medio y estándar utilizado.
Estos aspectos son de la manera más simple unos de los problemas en que se ve afectada la evidencia computacional sin tener en cuenta otros aspectos derivados de la red Internet, como sincronización de relojes y peor aun la no existencia de un legislación global acerca de la evidencia y delitos informáticos.
Luego de una breve introducción a la problemática de la evidencia digital se entrará en detalle en algunas estrategias para la administración de logs, que buscan minimizar esa problemática expuesta.
