informatica forense

inf. forense

TEMAS

La informática forense es un campo especializado que implica la recopilación, preservación, análisis y presentación de pruebas digitales en investigaciones criminales y legales. Para convertirte en un experto en informática forense, debes aprender una amplia gama de conocimientos y habilidades. Aquí tienes una lista de temas clave que debes aprender: Fundamentos de informática: Comprender los conceptos básicos de la informática, incluyendo hardware, software y sistemas operativos. Sistemas de archivos: Aprender sobre sistemas de archivos comunes, como NTFS, FAT, exFAT, HFS y otros, y cómo funcionan. Recopilación de pruebas: Conocer las técnicas y herramientas para adquirir pruebas digitales de manera forense sin modificar ni dañar los datos originales. Análisis de disco: Aprender a examinar discos duros, unidades USB y otros dispositivos de almacenamiento en busca de evidencia digital.

Herramientas forenses: Familiarizarse con herramientas como EnCase, FTK, Autopsy, y otras que se utilizan en investigaciones de informática forense. Recuperación de datos: Saber cómo recuperar datos de dispositivos dañados o formateados. Análisis de la memoria: Aprender a analizar la memoria RAM de una computadora en busca de información relevante. Análisis de registros: Conocer cómo examinar registros de eventos, registros de aplicaciones y registros de sistemas para descubrir actividades sospechosas. Análisis de red: Comprender cómo analizar el tráfico de red para identificar amenazas y actividades maliciosas. Criptografía: Familiarizarse con los conceptos de criptografía y cómo puede afectar una investigación forense. Esteganografía: Aprender sobre técnicas de ocultamiento de datos y cómo detectarlas. Malware y análisis de virus: Conocer cómo analizar malware y virus para determinar su funcionalidad y origen. Técnicas de preservación de pruebas: Aprender a preservar pruebas digitales de manera que sean admisibles en un tribunal. Leyes y regulaciones: Conocer las leyes y regulaciones relacionadas con la informática forense en tu jurisdicción. Ética en informática forense: Comprender las responsabilidades éticas de un investigador forense y mantener la integridad de las pruebas. Testimonio experto: Aprender a presentar pruebas forenses de manera efectiva en un tribunal como testigo experto. Investigación de delitos específicos: Estudiar las técnicas y herramientas específicas para investigar delitos cibernéticos, fraude informático, abuso de menores en línea, entre otros. Tendencias y evolución: Mantenerse actualizado sobre las últimas tendencias en informática forense, como la inteligencia artificial y la nube. Formación y certificaciones: Considerar la posibilidad de obtener certificaciones en informática forense, como las ofrecidas por

organizations like ISC², ECCouncil, y otras. Práctica constante: La experiencia práctica es fundamental. Participa en ejercicios de laboratorio y casos de estudio para aplicar tus conocimientos. Esta lista es una guía inicial y la informática forense es un campo en constante evolución. Deberás continuar aprendiendo y adaptándote a medida que surjan nuevas tecnologías y desafíos en el mundo digital.

Primer respondiente: primera persona que se encarga de atender un accidente.
Toma de decisiones:
Adquisiciones en vivo y estaticas
Imagen forense: copia exacta de una evidencia
Adquisicion de iamgenes forenses: FTK Imager, Paladin Forensics, EnCase
Imager, entre otras tecnicas.

Preguntas clave

las seis preguntas clave en el proceso de investigación:
¿Qué?  Define el tema o problema de investigación.
¿Por qué?  Explica la importancia y justificación de la investigación.
¿Cómo?  Describe la metodología y enfoque de recopilación de datos.
¿Cuándo?  Considera el marco temporal de la investigación.
¿Dónde?  Señala el lugar o contexto relevante para el estudio.
¿Quién?  Identifica a los participantes o actores clave en la investigación.

ETAPAS:

Identificacion: Detectar, reconocer y determinar las fuentes de
informacvion que deben ser preservadas para una investigacion.
aResultados:

iCadena de custodia
iiInventario de fuentes
Preservacion: Recoleccion de informacion de dispositivos de
almacenamiento de datos, para generar copias exactas usando tecnicas
forenses
aResultados:
iImagenes forenses
iiReportes de adquisicion y verificacion: a partir de los
procedimientos que se realicen con las herramientas
Analisis: “ Procesamiento dde informacion relacionada con el objetivo de la
investigacion, con el fin de determinar hechos asociados con un eventoˮ.
Presentacion:

Definicion: es una metodologia de tecnicas y procedimientos para recopilar evidencia desde equipos informaticos y diversos dispositivos de almacenamiento y medios digitales, que pueden presentarse en un tribunal de justicia en un formato coherente y significativo. Proporciona al equipo forense las mejores tecnicas yherramientas para resolver casos complicados relacionados con la tecnologia digital. En los ultimos añosm las fuentes de datos mas variadas se han vuelto importantes, incluidos los vehiculos de motor, los drones aereos y la nube.

Evidencia digital: es cualquier informacion o datos de valor para una investigacion que se almacena, recibe o transmite un dispositivo electronico. Los mensajes de texto, correos electronicos, fotos y videos, y las busquedas en itnernet son algunos de los tipos mas comunes de evidencia digital.

Proceso: Identificacion: identificacion de las evidencias preservacion: aislar, asegurar y conservar los datos. incluye evitar que las personas puedan alterar la evidencia analisis: no siempre todo va a estar junto, a veces es necesario reconstruir fragmentos de evidencia documentacion: ahora crea un registro de todos los datos para recrear la escena del crimen presentacion: resumir y sacar una conclusion segun la evidencia.

 FTK IMAGER  existe la version portable)
ahttps://www.youtube.com/watch?
v=UKe0Asjf814&list=PLtwXI6LGx9QTluOtiKvxN3M1vKhRAPJM
bPermite examinar el contenido de un disco duro, unidad de red, cd/dvd,
y revisar el contenido de imagenes forenses o volcados de memoria
cPermite ademas crear hash de archivos SHA1 o MD5, exportar archivos
y carpetas de imagenes forenses al disco, revisar y recuperar archivos
que se eliminaron de la papelera de reciclaje (siempre que sus bloques
de datos no se hayan sobrescrito) y permite montar una imagen forense
para ver su contenido en el explotador de windows.
dtiene una vista previa de datos para previsualizar archivos o carpetas,
tambien el contenido de esta
e Versión portable  Sí, e xiste una versión portable de
FTK Imager que se puede ejecutar desde un dispositivo de
almacenamiento
externo, como una unidad USB, sin necesidad de instalación en la

computadora de destino. Esto facilita su uso en entornos donde no se puede o no se desea instalar software en la máquina objetivo. f Examinar contenido de dispositivos  FTK Imager permite examinar el contenido de discos duros, unidades de red, CD/DVD y revisar el contenido de imágenes forenses o volcados de memoria. Es una herramienta versátil para la adquisición y visualización de datos en investigaciones forenses digitales. g Creación de hash  FTK Imager es capaz de calcular hash de archivos utilizando algoritmos como SHA1 o MD5. Esto es útil para verificar la integridad de los datos y garantizar que no se hayan alterado durante la adquisición. h Exportación de archivos y carpetas  La herramienta permite exportar archivos y carpetas específicas desde imágenes forenses al disco local para su posterior análisis. También puede recuperar archivos que se eliminaron de la papelera de reciclaje, siempre que sus bloques de datos no se hayan sobrescrito. i Montar una imagen forense  FTK Imager puede montar una imagen forense como una unidad lógica en el sistema operativo, lo que permite acceder al contenido de la imagen forense utilizando el explorador de Windows u otros programas. Esto facilita la revisión de la evidencia sin modificar la imagen original. j Vista previa de datos  La herramienta también proporciona una vista previa de datos que permite previsualizar archivos y carpetas, así como el contenido de estos, antes de realizar cualquier acción. Esto es útil para identificar rápidamente el contenido relevante en una investigación forense. k Adquisición de datos  FTK Imager permite realizar copias forenses de dispositivos de almacenamiento, como discos duros, unidades USB y tarjetas de memoria, de manera que los datos originales no se vean comprometidos. l Formato forense  Puede crear imágenes forenses en formatos comunes como E01 Encase), AFF Advanced Forensic Format) y RAW, lo que facilita la compatibilidad con otras herramientas forenses.

m Visualización de datos  P ermite la visualización de la estructura de archivos y carpetas en una imagen forense, lo que facilita la búsqueda y la revisión de la evidencia digital. n Hashing y verificación  FTK Imager permite calcular hash (como MD5 y SHA1 de los datos adquiridos, lo que permite verificar la integridad de la evidencia y garantizar que no se haya alterado. o Montaje de imágenes  Puede montar una imagen forense como una unidad lógica en un sistema, lo que permite el acceso a los datos sin modificar la evidencia original. p Exportación de datos  F acilita la exportación de archivos y datos específicos de la imagen forense para su posterior análisis. q Interfaz de usuario intuitiva  FTK Imager ofrece una interfaz de usuario fácil de usar que no requiere conocimientos técnicos avanzados para comenzar a trabajar con evidencia digital. r Soporte para diversos sistemas de archivos  Puede manejar una amplia variedad de sistemas de archivos, lo que lo hace adecuado para investigaciones en una variedad de plataformas y dispositivos. BULK EXTRACTOR ahttps://www.youtube.com/results?search_query=bulk+extractor+tutorial bhttps://www.youtube.com/watch?app=desktop&v=V41wfNKtF7Y cprograma en C que permite escanear una imagen de disco, archivo o directorio de archivos y extrae informacion util, guardando los resultados en archivos de texto dcaracteristica: detecta, descomprime y reprocesa automaticamente los datos comprimidos. eextrae informacion critica f Análisis rápido  Bulk Extractor está diseñado para procesar grandes conjuntos de datos de manera eficiente, lo que lo hace adecuado para investigaciones forenses que involucran grandes cantidades de información digital. g Detección automática  Puede identificar automáticamente datos sensibles y tipos de archivos específicos, como números de tarjetas de

crédito, direcciones de correo electrónico, números de teléfono, direcciones IP y más. h Generación de informes  P ermite generar informes detallados que resumen los resultados del análisis, facilitando la presentación de hallazgos en investigaciones forenses y procesos judiciales. i Escaneo de archivos y sistemas  Bulk Extractor puede examinar sistemas de archivos, imágenes de disco y otros tipos de almacenamiento digital en busca de información relevante. j Soporte de formatos  Es compatible con una amplia variedad de formatos de archivo, lo que le permite analizar datos de diferentes fuentes y tipos de sistemas operativos. k Personalización  Los usuarios pueden configurar reglas y patrones personalizados para adaptar el análisis a sus necesidades específicas. l Interfaz de línea de comandos  Bulk Extractor se utiliza principalmente a través de la línea de comandos, lo que permite a los investigadores automatizar tareas y procesar grandes volúmenes de datos de manera eficiente. m Código abierto  Bulk Extractor es un software de código abierto, lo que significa que su código fuente está disponible para su revisión y personalización por parte de la comunidad de usuarios y desarrolladores. DEFT aes una distribucion de linux con herramientas forenses b c Entorno de trabajo forense  DEFT proporciona un entorno de trabajo forense preconfigurado con una amplia gama de herramientas y utilidades destinadas a la adquisición, análisis y presentación de evidencia digital. d Herramientas forenses  Incluye una variedad de herramientas forenses, como FTK Imager, Autopsy, Bulk Extractor, y muchas más, que permiten llevar a cabo tareas específicas de análisis y recuperación de datos. e Interfaz amigable  DEFT ofrece una interfaz gráfica amigable que facilita el acceso a las herramientas forenses, lo que hace que sea más

accesible para aquellos que no están familiarizados con la línea de comandos. f Modo Live  Puede ejecutarse como una distribución “live” desde un CD, DVD o una unidad USB, lo que significa que no es necesario instalarlo en la computadora objetivo, lo que ayuda a evitar alteraciones en la evidencia original. g Compatibilidad de hardware  DEFT está diseñado para ser compatible con una amplia variedad de hardware, lo que permite su uso en diferentes tipos de sistemas y dispositivos. h Preservación de evidencia  Se enfoca en la preservación de la integridad de la evidencia digital, asegurando que los datos recopilados se mantengan inalterados durante el proceso de análisis. i Personalización  Los usuarios avanzados pueden personalizar DEFT según sus necesidades específicas, lo que lo hace versátil y adaptable a diferentes escenarios de investigación forense. j Actualizaciones regulares  DEFT se actualiza periódicamente para incorporar nuevas herramientas y mantenerse al día con los avances en tecnología forense y seguridad cibernética. FireEye Redline: aSolo corre en windows bPermite realizar analisis de memoria a archivos de un host especifico cRecopila informacion sobre la ejecucion de procesos ycontroladores desde la memoria y recopila metadatos del sistema de archivos, datos de registro, registro de eventos, informacion de red, servicios, tareas, e historial de internet para ayudar a contruir un perfil general de evaluacion de amenazas dPermite identificar cuando se introdujo un archivo comprometido (malware) y como persiste en el sistema o red elos indicadores de lista blanca permite filtrara los datos conocidos fAdemas recopila informacion de procesos de ejecucion, archivos, imagenes y datos de registro g Recopilación de datos  R edline permite recopilar información detallada sobre sistemas y redes, incluyendo registros de eventos, procesos en

ejecución, conexiones de red y más. h Análisis de indicadores de compromiso IoC  A yuda a los investigadores a identificar indicadores de compromiso en entornos comprometidos, como malware, archivos sospechosos y comportamientos anómalos. i Detección de amenazas avanzadas  Utiliza reglas de detección y algoritmos avanzados para identificar amenazas cibernéticas avanzadas y ataques persistentes. j Generación de informes  F acilita la creación de informes detallados que resumen hallazgos clave, lo que ayuda en la toma de decisiones y en la comunicación de resultados a partes interesadas. k Automatización de respuestas  Puede automatizar la ejecución de respuestas predefinidas a incidentes de seguridad, lo que acelera la mitigación de amenazas. l Integración con otras herramientas  R edline se integra con otras soluciones de seguridad, lo que permite a las organizaciones aprovechar su infraestructura existente para una respuesta más eficiente a incidentes. m Interfaz de usuario intuitiva  Ofr ece una interfaz gráfica de usuario fácil de usar que permite a los analistas de seguridad navegar y trabajar con los datos de manera efectiva. n Actualizaciones regulares  Fir eEye mantiene Redline actualizado con las últimas amenazas y técnicas de ataque, asegurando su eficacia en un entorno de amenazas en constante evolución.

HXD

aes un editor hexadecimal facil permitiendo realizar ediciones y
modificaciones de bajo nivel de un disco sin formato o memoria
principal RAM
bPuede manejar archivos grandes sin problemas
cIncluye:
iBusqueda y reemplazo
iiExportacion, suma de verificacion o resumenes
iiiUna trituradora de archivos, concatenacion o division de archivos
ivGeneracion de estadisticas y mas
d Editor hexadecimal  Pr oporciona una interfaz que muestra los datos en
formato hexadecimal, lo que permite a los usuarios ver y editar los
bytes de un archivo de manera individual.
e Edición de archivos binarios  P ermite editar archivos binarios
directamente en su representación hexadecimal, lo que es útil para
tareas como la modificación de programas, la búsqueda de patrones de
datos y la depuración.
f Comparación de archivos  F acilita la comparación de dos archivos en
formato hexadecimal, lo que ayuda a identificar diferencias y similitudes
entre ellos.

g Análisis forense  HXD es utilizado a veces en el campo de la informática forense para examinar datos y sistemas en busca de evidencia digital, ya que permite una inspección minuciosa de los datos binarios. h Soporte de archivos grandes  Puede manejar archivos de gran tamaño y carga rápida de datos, lo que es beneficioso cuando se trabaja con archivos extensos. i Búsqueda y reemplazo  P ermite buscar y reemplazar secuencias de bytes en un archivo hexadecimal, lo que es útil para realizar cambios específicos en datos binarios. j Interfaz de usuario amigable  A pesar de su enfoque técnico, HXD proporciona una interfaz de usuario intuitiva con funciones de navegación y edición que facilitan su uso. k Código abierto  HXD es de código abierto, lo que significa que su código fuente está disponible para que la comunidad de desarrolladores y usuarios lo modifique y mejore.

FASES

1.1 Orden de allanamiento: emitida por un tribunal

1.2 Evaluar y asegurar la escena:

marcar la escena del crimen para evitar fugas.
FOTOGRAFIA FORENSE
La fotografía forense es una disciplina de la ciencia forense que se
enfoca en la captura, análisis y presentación de imágenes fotográficas
y visuales para investigaciones criminales y judiciales. Su objetivo
principal es documentar de manera precisa y objetiva la evidencia física
en una escena del crimen o en relación con un caso legal.
REUNIR INFORMACION PRELIMINAR EN LA ESCENA recopila lo siguiente
Fecha y hora
Lugar y ubicacion del incidente
Evidencia de un sistema volatil y un sistema no volatil
Detalles de las personas presentes en la escena del crimen
Nombre e identificacion de las personas o personasq ue pueden servir
como testigos potenciales
Primeros pasos
Primera persona: la primera persona en la escena del incidente debe
recolectar y preservar la mayor cantidad de evidencia posible
Evidencia: Se debe recopilar evidencia sobre todo tipo de dispositivos
presentes en la escena del incidente: playstations, celulares,
computadoras, cualquier medio que pueda usarse.
Ley: se debe seguir las leyes durante la recopilacion de la evidencia.

1.3 Recoger la evidencia:

En primer lugar la evidencia digital se define como: Cualquier informacion de valor probatorio que se almacena o transmite en forma digital.

Recoger evidencias fisicas tales como: Medios removibles Cables: algunos podrian ser un usb ninja, pero por fuera podria no parecerlo Publicaciones Todos los equipos informaticos incluyendo perifericos articulos tomados de la basura articulos diversos Recoger dispositivos electronicos o cualquier otro medio que se encuenetre en la escena del crimen NOTA todas las evidencias deben manejarse con cuidado para mantener la integridad Deben ser etiquetados, rotulados, etc. la etiqueta proporciona informacion detallada de la evidencia Tener en cuenta la proteccion contra escritura y verificacion de virus de estos medios todo con el fin de mantener la integridad de los datos. Ademas capture el numero de serie electronico Formulario de recopilacion de evidencia: Agencia de envio Numero de articulo Horaa de recollecion Insignia N Lugar de reecogida Nombre completo de la victima Numero de caso Fecha recogida Recogido por Descripcion de la evidencia adjunta

Tipo de delitos
Nombre completo del sospechoso
Pautas para adquirir la evidencia:
Se utilizan banners de muestra para registrar las actividades del
sistema cuando las utiliza un usuario no autorizado
En los banners de advertencia, las organizaciones dan aviso claro e
inequivoco a los intrusos que al iniciar sesion en el sistema estan
expresamente consintiendo dicho monitoreo
Se confiscan los equipos que estan conectados a la caja, conociendo el
papel de la computadora que indicara lo que se debe tomar
En elmomento del proceso de captura, la computadora no debe
apagarse
Asegurese de que el dispositivo de almacenamiento del examinador
forense este limpio al adquirir la evidencia
La proteccion contra escritura debe iniciarse, si esta disponible, para
preservar y proteger la evidencia original

1.4 ASEGURAR LA EVIDENCIA:

Mantener la integridad de la evidencia es importante para evitar que esta
sea nula
(laboratorio forense)
Colocar la evidencia en un sitio seguro que no permtia el acceso a
intrusos
Mantener una bitacora de los accesos y salidas al laboratorio forense
Tener un control con alarma de intrusion en la entrada
Tener camaras de seguridad
Mantener la cadena de custodia para rastrar adecuadamente la evidencia
ponerse en contacto con las agencias policiales para saber como preservar
la evidencia
CADENA DE CUSTODIA

La cadena de custodia es un procedimiento crucial en la gestión y preservación de la evidencia física durante una investigación criminal o un proceso legal. Su objetivo principal es garantizar la integridad, autenticidad y trazabilidad de la evidencia desde el momento en que se recopila hasta su presentación en un tribunal. Aquí tienes una explicación detallada de la cadena de custodia: Funciones de la cadena de custodia: Regular la recolección, manejo, almacenamiento, pruebas y disposición de evidencia  Cor recto. La cadena de custodia tiene la función de establecer pautas y procedimientos para asegurar que la evidencia se recoja y maneje de manera adecuada y se mantenga intacta y sin alteraciones durante todo el proceso. Ser una medida contra la manipulación o sustitución de la evidencia  Correcto. La cadena de custodia se implementa para prevenir la manipulación o sustitución de la evidencia, garantizando que su integridad se mantenga desde su recolección hasta su presentación en un tribunal. Tiene como función documentos usados en estos pasos  Cor recto. La cadena de custodia involucra la documentación detallada de cada paso en el manejo de la evidencia, incluyendo quién la recogió, cuándo y dónde, quién la custodió y cualquier cambio o traslado posterior. Formulario de cadena de custodia: Colector de muestra  Cor recto. El formulario debe identificar quién recogió la muestra o evidencia. Descripción de la muestra, tipo y número  Cor recto. Debe proporcionar una descripción detallada de la muestra, incluyendo su tipo (por ejemplo, cabello, sangre, arma), así como un número de identificación único para seguimiento. Datos de muestreo y ubicación  Cor recto. Se debe registrar dónde y cuándo se recogió la muestra, así como cualquier información relevante sobre cómo se obtuvo. Cualquier custodio de la muestra  Cor recto. Si la muestra cambia de manos o se traslada a diferentes ubicaciones, se debe documentar quién la custodió en cada etapa.

EXPLICACION DETALLADA

Recopilación inicial  La c adena de custodia comienza en el lugar del incidente, donde se recopila la evidencia física, que puede incluir objetos, documentos, muestras biológicas, armas, huellas, entre otros. Un oficial de policía, detective, perito forense u otro personal autorizado es responsable de la recolección. Embalaje y etiquetado  Una vez que se recopila la evidencia, se coloca en un contenedor o paquete adecuado y se etiqueta de manera clara y completa. La etiqueta debe incluir información como la fecha y hora de recopilación, el nombre del recolector, una descripción detallada de la evidencia y el lugar de origen. Registro y documentación  Se crea un registro formal que documenta la cadena de custodia de la evidencia. Este registro incluye información sobre quién recopiló la evidencia, quién la recibió, cuándo y dónde se movió, y cualquier otro detalle relevante. Es importante que todas las personas que entren en contacto con la evidencia la firmen y fechen para dejar constancia de su manejo. Almacenamiento seguro  La e videncia se almacena en un lugar seguro y controlado para evitar su alteración, contaminación o pérdida. Este almacenamiento debe cumplir con estándares específicos para garantizar la preservación de la evidencia durante todo el proceso. Transporte documentado  Si la evidencia necesita ser trasladada a un laboratorio forense o a otro lugar, este proceso se debe documentar minuciosamente. Cualquier cambio en la custodia o el manejo de la evidencia se registra en el documento de cadena de custodia. Examen forense  En el laboratorio forense, los peritos forenses pueden examinar y analizar la evidencia. Cualquier manipulación realizada durante el examen también se registra en el documento de cadena de custodia. Presentación en juicio  Si la evidencia se presenta en un tribunal, se debe seguir un procedimiento específico para garantizar su admisión como prueba. El documento de cadena de custodia se utiliza para demostrar la autenticidad y la integridad de la evidencia. Destrucción o retención  Después de que se resuelve el caso, la evidencia puede ser devuelta a su propietario legítimo, destruida según

las regulaciones aplicables o retenida para futuras investigaciones o
apelaciones.

2.5 ADQUISICION DE LOS DATOS

La evidencia NUNCA debe usarse para el analisis Se utiliza una copia para el analisis Se debe mantener la integridad en la copia Use un algoritmo hash, (ej. md5hash) utilice alguna herramienta para evidenciar que los valores hash sean los mismos Duplicar datos: Duplicar los datos originales para preservarlos, manteniendo su integridad Los datos deben duplicarse poco a poco para mantener la integridad Los datos duplicados se envian al laboratorio forense para posteriormente analisarlos Estos datos pueden ser duplicados por software y hardware Herramientas: HASHCALC MD5 calculator HASHMYFILES MD5Sum los software anteriores son calculadoras que permiten verificar la integridad mediante el uso de algoritmo hash

Recuperar datos borrados perdidos Software: Recuperar mis archivos Digital Rescue Premium Asistente de recuperacion de datos EASEUS PC INSPECTOR recuperacion de archivos Recuperacion de disco avanzada Retiro total

2.6 ANALISIS DE LOS DATOS

Se debe analizar a fondo los dato adquiridos para sacar conclusiones
relacionadas con el caso
Las tecnicas de analisis de datos dependen del alcance del caso o de los
requisitos del cliente
Esta fase incluye:
analisis del contenido, fecha y hora de creacion y moidifcacion de
archivos, usuarios asociados con la creacion de archivos, aceso y
modificacion de archivos y ubicacion de almacenamiento fisico del
archivo
Generacion de linea de tiempo

Identificar y clasificar datos en orden de relevancia
Herramientas: Nota: se pueden ralizar manualmente, pero estas
herramientas ayudan a automatizar dichos procesos de analisis
AccessDatas FTK
Encase forensics: de paga
Autopsy: opensource

2.7 EVALUACION DE EVIDENCIA Y EL CASO

La evidencia digital debe evaluarse a fondo con respecto al alcance del
caso para determinar el curso de accion, es decir que es lo que queremos
alcanzar con el caso
Realice una evaluacion exhaustiva revisando la orden de allanamiento u
otra autorizacion legal, los detalles del caso, la naturaleza del hardware y el
software, la evidencia potencial buscada y las circunstancias que rodean la
adquisicion de la evidencia que se examinara. Realizar una evaluacion
exhaustiva
EVALUACION DE CASO
Revise la solicitud de servicio del investigador de casos
Identifique la autoridad legal para la solicitud del examen forense
Documentar la cadena de custodia
Discuta si otros procesos forenses deben realizarse sobre la evidencia
analisis de ADN
huellas digitales
marcas de herramientas
trazas
documentos cuestionados
Determine la evidencia potencial que se busca
fotografias
hojas de calculo

documentos bases de datos registros financieros Discuta la posibilidad de buscar otras vias de investigacion para obtener evidencia digital adicional Por ejemplo enviar una orden de preservacion a un ISP, identificar ubicaciones de almacenamiento remoto, obtener correos electronicos, etc. Considere la relevancia de los componentes perifericos para la investigacion laminadoras papel de cheques escaneres e impresoras camaras digitales Determine informacion adicional sobre el caso, por ejemplo: Alias cuentas de correo electronico ISP utilizado nombres configuracion de red registros del sistema contrasenas EVALUACION DE UBICACION DE PROCESAMIENTO Evaluar la evidencia para determinar donde realizar el examen Es preferible completar el examen en un entorno controlado tal como un laboratorio forense Siempre que las circunstancias requieran que se realice un examen in situ, intente mantener controlado el entorno “in situˮ : quiere decir ‘trabajar en el mismo lugar en el que se encuentra el objeto de estudio o trabajoʼ.

Las consideraciones de evaluacion incluyen:
El tiempo necesario in situ para lograr la recuperacion de evidencia
Problemas logisticos y de personal asociados con el despliegue a
largo plazo
El impact en el negocio debido a una larga busqueda
La idoneidad del equipo, recursos, medios, capacitacion y
experiencia para un examen in situ
MEJORES PRACTICAS PARA EVALUAR EVIDENCIA
Revise los nombres de los archivos por relevancia y patrones
Correlacione los encabezados de archivo con las extensiones de
archivo correspondientes par aidentificar cualquier falta de
coincidencia
Revise las marcas de hora y fecha en los metadatos del sistema de
archivos
Analice la evidencia fisica y logica de su valor para el caso
Use un gabinete seguro o asegure la evidencia
Examine los registros del servicio de red para cualquier evento de
interes
Realice un analisis fuera de linea en una copia de la evidencia original
Examine la gran cantidad de datos del host(servidor), donde solo una
parte de esos datos sera relevante para el incidente
Busque contenido de todos los archivos recopilados para asi ayudar a
poder identificar los archivos que podrian ser de interes

2.8 PREPARAR EL INFORME FINAL

DOCUMENTACION EN CADA FASE

Acceda a los datos
aUna estimacion inicial del impacto de la situacion en el negocio de la
organizacion
bResumenes de entrevistas con usuarios y administradores de sistemas

cResultados de cualquier interaccion legal y de terceros dinformes y registros generados por las herramientas utilizadas durante la fase de evaluacion eUn curso de accion propuesto Adquirir los datos aCree una lista de entrada/salida que incluya informacino como el nombre de la persona que examina y devuelve la evidencia, fecha y horas exactas de ambas actividades Analisis de los datos: Documente… ala informacion sobre el numero y tipo de SO bel contenido del archivo cel resultado de la correlacion de archivos con las aplicaciones instaladas dla configuracion del usuario RECOPILAR Y ORGANIZAR LA INFORMACION la documentacion en cada fase debe identificarse por su relevancia en la investigacion. Los procedimientos utilizados para recopilar y organizar la documentacion requerida son: Reuna todas las notas de las fases evaluar, adquirir y analizar identifique partes de la documentacion que sean relevantes para la investigacion identifique hechos para respaldar las conclusiones que sacara en el informe cree una lista de todas las pruebas que se enviara en el informe haga una lista de las conclusioens que se desea sacar en su informe organice y clasifique la informacion que recopilo para asegurarse de obtener un informe claro y conciso

REDACCIÓN DEL INFORME DE INVESTIGACIÓN

esta es una etapa crucial en el resultado de la investigació n

debe ser claro conciso escrito para una audiencia apropiada Tiene la siguiente informacion incluida: PROPOSITO DEL INFORME : explique claramente el proposito del informe, el publico y el porque se realizo el infome AUTOR DEL INFORME : enumere todos los (co)autores del informe, incluyendo sus cargos, responsabilidades durante la investigacion y datos de contacto RESUMEN DE INCIDENTES : presente el incidente y explique su impacto, este resumen debe explicar claramente cual fue el incidente y como se ocasiono. EVIDENCIA : proporciones descripciones de la evidencia que se adquirio durante la investigacion DETALLES : Proporcione una descripcion detallada de que evidencia se analizo y los metodos de analisis que se usaron enumere los procedimientos que se siguieron durante la investigacion y las tecnicas de analisis que se utilizaron incluya pruebas de sus hallazgos como informes de utilidades y entradas de registro CONCLUSION resuma el resultado de la investigacion cite evidencia especifica para probar la conclusion la conclusion debe ser clara e inequivoca DOCUMENTOS DE RESPALDO incluya toda la informacion de referencia mencionada a lo largo del informe como diagramas de red, documentos que describan los procedimientos de investigacion por computadora utilizados y descripciones

generales de las tecnologias involucradas en la investigacion
Es importante que los documentos de respaldo proporcionen
suficiente infomracion para que el lector de inforemes comprendan
el incidente lo mas completamente posible

2.9 TESTIFICAR COMO UN TESTIGO EXPERTO

Un testigo experto es una persona la cual posee un conocimiento profundo de un tema y cuyas credenciales pueden convencer a otros de creer en sus opiniones sobre un tema en un tribunal de justicia. Cumple el siguiente papel: Investigar un crimen Evaluar la evidencia Educar al publico y a la corte Testificar en la corte Papel en la presentacion de pruebas ante el tribunal: Ayudar a la corte a comprender pruebas complejas, es decir tendra que usar un lenguaje muy sencillo Ayudar al abogado a llegar a la verdad Decir verdad, objetiva y plenamente, expresando su opinion experta, sin tener en cuenta ningun punto de vista o influencia

COSAS QUE TIENEN LUGAR EN LA SALA DEL TRIBUNAL Familiaricese con los procedimientos habituales que se siguen durante un juicio El abogado presenta al perito con gran respeto El abogado contrario puede desacreditar al testigo experto El abogado guiaria al testigo expero a traves de la evidencia Mas tarde, es seguido el interrogatorio con el abogado contrario CERRANDO EL CASO El investigador debe incluir

debe proporcionar una explicacion para varios procesos y los diversos componentes interrelacionados lo que se hizo y los resultados en el informe final El informe basico incluye: quien que cuando donde como En una buena investigacion informatica, los pasos pueden repetirse y los resultados obtenidos son los mismos cada vez El informe debe explicar los procesos informaticos y de red y el funcionamiento interno del sistema MANTENER LA CONDUCTA PROFESIONAL considere todos los hechos disponibles que tienen en cuenta la escena del crimen Ignore los prejuicios externos para mantener la integridad de la investigacion en todas las investigaciones Mantenga el caso confidencial Mantenerse actualizado sobre los cambios tecnicos en: hardware software redes herramientas forenses Mantener una cadena de custodia credibilidad etica y moral estandares de comportamiento mantener objetividad y confidencialidad

INVESTIACION DE UNA VIOLACION DE LA POLITICA DE LA EMPRESA

Mientras investiga, el negocio debe continuar con una interrupcion minima
Los empleados que utilizan recursos de la compania para uso personal
estan realizando una violacion a la politica de la compania
Esoas acciones deben ser corregidas
Puede costar caro a la empresa
Estos malos usos incluyen:
Navegar por internet
Enviar correos electronicos personales
Uso para tareas pesonales

Unidad 3: Adquisicion de evidencias

3.1 Tipos de evidencia y orden de volatilidad

El rol de la evidencia digital: El papel de la evidencia digital es establecer un vínculo creíble entre el atacante, la víctima y la escena del crimen. Según el Principio de intercambio de Locard, “cualquiera o cualquier cosa, al ingresar a la escena del crimen, se lleva algo de la escena con ellos y deja algo de sí mismo cuando se va” Por ejemplo, en el momento del delito, si alguna información de la computadora de la víctima se almacena en el servidor o sistema mismo, el investigador puede rastrear esa información examinando los archivos de registro, el historial de navegación de Internet, etc

Caracteristicas de la evidencia digital: Creible: debe ser clara y entendible por los jueces De confianza: No debe existir duda sobre la autenticidad o veracidad de la evidencia Completa: debe probar las acciones del atacante o en caso contrario, su inocencia Admisible: debe estar relaciondada con el hecho que se esta probando Autentico: debe ser real y debe estar adecuadamente relacionado con el incidente

Fragilidad de la evidencia digital: Este tipo de evidencia es de naturaleza fragil Puede ser manipulada por escritura Puede ser eliminada por conexiones remotas Pueden perderse los datos si es que se apaga la computadora en la escena del crimen

Tipos de evidencia digital: Datos volatiles: son las que primero se deben adquirir puede que nuestras acciones pueden modificar su valor original y desaparecen al apagar el medio. Se pueden modificar Ejemplos: Memoria cache tablas de enrutamiento memoria RAM procesos en ejecucion Contienen hora del sistema

usuario(s) conectados archivos abiertos informacion de red informacion de procesos mapeo de proceso a puerto memoria de proceso contenido del portapeles informacion del servicio o controlador historial de comandos Datos no volatiles: son mas dificilmente alterables, pero nuestras acciones puede que las alteren si no se actua con cuidado persisten a largo plazo se utilizan para almacenamiento secundario Ejemplos: Discos duros pendrives cd/dvds Contienen: archivos ocultos archivo de intercambio archivos index.dat clusteres no asignados particiones no utilizadas, espacios libres particiones ocultas configuracion de registro registro de eventos Datos transitorios:

Contiene informacion como conexion de red abierta, cierre de sesion
del usuario, programas que estan en la memoria y datos de cache
Si la maquina esta apagada, entonces toda esa informacion se pierde
de forma permanente.
Datos fragiles
contiene informacion como marcas de tiempo de ultimo acceso, fecha
de acceso a archivos, etc.
son informacion que se guarda temporalmente en el disco duro y que
se puede cambiar
DATOS RESIDUALES
Datos residuales son información almacenada en una computadora
después de eliminar un archivo. Cuando borramos un archivo, la
computadora solo etiqueta el espacio, en lugar de limpiarlo de
inmediato. Esto significa que el archivo puede recuperarse hasta que
ese espacio sea reutilizado.
METADATOS
Los metadatos son información que registra detalles específicos sobre
un documento, como su formato y datos sobre quién lo creó, cuándo se
modificó y quién lo hizo.

SIEM Security information and event managment

IOC Inversion of Control