Bienvenida y presentación general.

1

Todo lo que aprenderás sobre informática forense

2

Cómputo forense: qué es

3

Etapas I y II: Identificación y Preservación de Evidencia Digital

4

Etapas III y IV: Análisis y Presentación de Resultados

Etapa I: Identificación

5

Preparación de un kit para adquisición

6

Procedimientos de Cadena de Custodia

7

Identificación de fuentes de evidencia

8

Elaborar un inventario de evidencia y plan de adquisiciones en un escenario simulado

Etapa II: Preservación

9

Sistemas de protección contra escritura por hardware y software

10

Introducción a FTK Imager

11

Adquisición de imágenes forenses con FTK Imager

12

Adquisición de imágenes forenses con EnCase

13

Adquisición de imágenes lógicas, memoria volátil y sistemas operativos en vivo

14

Introducción a Paladin Forensics

15

Adquisición de imágenes forenses con DD

16

FTK Imager para Linux

17

Adquisición de imágenes forenses de Mac. (Paladin)

18

Adquisición de imágenes forenses de Mac. (Target Disk Mode)

19

Verificación de imágenes forenses. Explicación de algoritmos Hash

20

Adquirir imágenes forenses, utilizando las diferentes herramientas disponibles

21

Ejecutar la verificación con algoritmos HASH de las diferentes imágenes forenses generadas

Etapa III: Análisis de Evidencia Pt. 1

22

Sistemas de archivos Windows: FAT, NTFS

23

Sistemas de archivos Unix: EXT, HFS y APFS

24

Exportado de archivos a partir de imágenes forenses

25

Creación de imágenes parciales con FTK Imager

26

Análisis preliminar de sistemas Windows

27

Análisis preliminar de sistemas Unix (Linux y MacOS)

28

Elaboración de informe preliminar

29

Crear una imagen de contenido personalizado para análisis

30

Elaborar un informe de análisis preliminar de un entorno a partir de la evidencia preservada

Etapa III: Análisis de Evidencia Pt. 2

31

Análisis de Registro de Windows: SAM

32

Análisis de Registro de Windows: Software

33

Análisis de logs de un Sistema Windows

34

Análisis de listas recientes (MRU) y Shellbags

35

Referencia del registro de Windows

36

Análisis de procesos ejecutados

37

Análisis de bandejas de reciclaje

38

Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de análisis

Etapa III: Análisis de Evidencia Pt. 3

39

Estructura de un sistema Unix

40

Arranque y ejecución de procesos en Linux

41

Análisis de archivos de autenticación

42

Análisis temporal del sistema

43

Autopsy y Sleuth Kit Suite

44

Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de análisis

Etapa IV: Presentación.

45

Elaboración de un informe ejecutivo

46

Elaboración de un informe técnico completo

47

Presentación ante autoridades judiciales

48

Consolidar los resultados en dos informes: técnico y ejecutivo, empleando el lenguaje adecuado para cada caso

Conclusiones Finales

49

Recomendaciones generales, resumen y sugerencias de material. Despedida y agradecimiento

Etapas I y II: Identificación y Preservación de Evidencia Digital

3/49
Recursos
Transcripción

Comenzaremos con las primeras dos etapas de un proceso de investigación, las cuales son:

  • Etapa 1 - Identificación: Detectaremos, reconoceremos y determinaremos las fuentes de información que deben ser preservadas para una investigación.
    Puntos claves a tener en cuenta:
    6 Preguntas: ¿Cómo aplicar las 6 preguntas del proceso investigativo?
    Preparación de herramientas: Un kit de herramientas adecuadas para hacer adquisiciones.
    Primer respondiente: ¿Quién es y qué debe hacer?
    Toma de decisiones: Adquisiciones “en vivo”, “estáticas”.
    – Los resultados de esta primera etapa son: cadena de custodia e inventario de fuentes.

  • Etapa 2 - Preservación: Recolectaremos información de dispositivos de almacenamiento de datos, para generar copias exactas usando técnicas forenses.
    Puntos claves a tener en cuenta:
    Medios de almacenamiento: ¿Qué son?, ¿cuáles usamos comúnmente?, ¿cómo funcionan?
    ¿Qué es una imagen forense?: Definición, ejemplos y uso común.
    Adquisición de imágenes forenses: FTK Imager, Paladin Forensics, EnCase Imager, entre otras técnicas.
    Algoritmos Hash: ¿Qué son y por qué los utilizamos?
    – Los resultados que obtendremos de esta etapa serán: imágenes forenses y reportes de adquisición y verificación.

Aportes 22

Preguntas 2

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad? Crea una cuenta o inicia sesión.

Etapa 1 Identificación:
Ser capaz de detectar, reconocer y determinar cuales son las fuentes de información que debemos preservar para una investigación requiere de unos conocimientos previos los cuales en mi opinión serian los siguientes

Conocimientos de redes Lan, Wifi, curso aqui (curso de redes e internet)
Conocimiento de hardware y arquitectrura (pc, celulares, )

Conocimiento de sistemas operativos (Windows,Linux,Mac)
(**Curso de administracion de servidores Linux y curso de introduccion a la linea de comandos **)

Conocimiento de arquitectura de software (curso de fundamentos de ingenieria de software)

y todos estos están aquí en Platzi

Complementación del tema
Preparación de herramientas: recuerda llevar tu kit de herramientas para cualquier escenario posible, porque no sabes con te vas a encontrar.
Primer respondiente: es la primera persona que se encarga de responder el incidente.
Toma de decisiones: debes estar preparado para hacer adquisiciones “en vivo”, “estáticas”.
Medios de almacenamiento: pueden ser distintos tipos de discos duros, o USB, tenemos que adaptarnos a lo que tengamos.
Algoritmos Hash: son algoritmos de matemáticas que se usan para verificar que toda la información no se haya modificado

Etapas I y II: Identificación y Preservación de Evidencia Digital
.
Etapas del cómputo forense
Primera etapa “Identificación”: reconocer nuestras fuentes de evidencia.
Resultados de la primera etapa
Como resultado obtendrás una cadena de custodia y un inventario de fuentes.

Segunda etapa “Preservación”: conservar, guardar la evidencia de manera segura
Resultados de la segunda etapa
Como resultado obtendrás imágenes forenses y reportes de adquisición y verificación.

(

Directrices a tener en cuenta según la RFC 3227:

  • Para consideraciones legales la evidencia computacional debe ser:
    Admisible, Autentica, Completa, Fidedigna, Creíble.
  • Se debe de incluir la Fecha y hora en los procedimientos detallados.
  • Recopilar la información según su orden de volatilidad de mayor a menor (cache, memoria, archivos temporales, disco, servicios remotos, configuración del equipo, topología de red…).
  • No realizar análisis forense sobre las copias de respaldo.
  • Evitar apagar el equipo dado que esto puede destruir la evidencia.
  • Algunos comandos como'tar' o 'xcopy' pueden alterar las fechas de acceso a los documentos.
  • Al desconectar los accesos como en el caso de restringir la red se pueden activar los denominados dispositivo de hombre muerto “deadman switches” que detectan cuando están desconectados de la red y limpian la evidencia.
  • Administra La cadena de custodia (¿dónde, cuándo y quién? descubre, maneja o examina los datos, ¿cómo? se almacenan y ¿quién? custodiaba la información, ¿cuándo? se realiza el cambio de custodia).
  • Describe como se encontró la evidencia, documentando de manera precisa y transparente los métodos expertos utilizados en cada paso, incluir a las personas involucradas (rol, identificación, historia).
  • Debe haber la posibilidad de detectar accesos no autorizados a la evidencia

++Set de herramientas: ++
Deben poder ser requeridas y disponibles de manera local.

  • Examinar procesos ('ps').
  • Examinar el estado del sistema ('showrev', 'ifconfig', 'netstat', 'arp').
  • Generar copias bit a bit ('dd', 'SafeBack').
  • Generar sumas de comprobación y firmas digitales ('sha1sum', a checksum-enabled 'dd', 'SafeBack', 'pgp').
  • Generar y examinar imágenes ('gcore', 'gdb').
  • Automatizar la recolección de evidencia (The Coroner’s Toolkit [FAR1999]).

Etapa de Identificación. “Llegar a un sitio y determinar del universo de posibilidades que haya cuáles son los dispositivos, cuáles son los medios de almacenamiento que realmente nos van a servir y que van a ser clave para la investigación. Obviamente podemos encontrarnos con un montón de fuentes, un montón de discos duros, computadores, teléfonos, etc. pero tenemos que ser capaces de determinar rápidamente cuáles son realmente los que más nos interesan.”
Prof. Juan Pablo Caro

REalmente interesante , informatica forense 😃

– Puntos claves a tener en cuenta:
— 6 Preguntas: ¿Cómo aplicar las 6 preguntas del proceso investigativo?
— Preparación de herramientas: Un kit de herramientas adecuadas para hacer adquisiciones.
— Primer respondiente: ¿Quién es y qué debe hacer?
— Toma de decisiones: Adquisiciones “en vivo”, “estáticas”.
– Los resultados de esta primera etapa son: cadena de custodia e inventario de fuentes.

Tenemos como referencia un Framework? si academicamente me dicen, Que marco de referencia uso para la extracción de datos que le debería responder? como se llama esta metodología? o que metodología podría mencionar?

Esto suena delicioso!!!

Muy interesante

Interesante la forma en como debe aplicarse las preguntas y el método para utilizar la herramientas

Gracias

La información es la base de toda investigación

Es todo un mundo esta clase.

Cadena de Custodia, uno de los resultados mas importante. Estas evidencias no se pueden modificar, ya que si son modificadas, ya no sirven como evidencias.

Identificar -> Detectar,reconocer y determinar las fuentes de informacion

La informacion de un issue no se debe modificar ya que es la evidencia

0.85x

Etapa de Preservacion. Recolección de información de dispositivos de almacenamiento de datos. Generación de copias exactas (bit a bit) usando técnicas forenses.

¡Excelente clase!