Identificación y Preservación en Computo Forense

Clase 3 de 49 • Curso de Informática Forense

Resumen

Comenzaremos con las primeras dos etapas de un proceso de investigación, las cuales son:

Etapa 1 - Identificación: Detectaremos, reconoceremos y determinaremos las fuentes de información que deben ser preservadas para una investigación.
– Puntos claves a tener en cuenta:
— 6 Preguntas: ¿Cómo aplicar las 6 preguntas del proceso investigativo?
— Preparación de herramientas: Un kit de herramientas adecuadas para hacer adquisiciones.
— Primer respondiente: ¿Quién es y qué debe hacer?
— Toma de decisiones: Adquisiciones “en vivo”, “estáticas”.
– Los resultados de esta primera etapa son: cadena de custodia e inventario de fuentes.
Etapa 2 - Preservación: Recolectaremos información de dispositivos de almacenamiento de datos, para generar copias exactas usando técnicas forenses.
– Puntos claves a tener en cuenta:
— Medios de almacenamiento: ¿Qué son?, ¿cuáles usamos comúnmente?, ¿cómo funcionan?
— ¿Qué es una imagen forense?: Definición, ejemplos y uso común.
— Adquisición de imágenes forenses: FTK Imager, Paladin Forensics, EnCase Imager, entre otras técnicas.
— Algoritmos Hash: ¿Qué son y por qué los utilizamos?
– Los resultados que obtendremos de esta etapa serán: imágenes forenses y reportes de adquisición y verificación.

Javier Ramos

student•

Etapa 1 Identificación: Ser capaz de detectar, reconocer y determinar cuales son las fuentes de información que debemos preservar para una investigación requiere de unos conocimientos previos los cuales en mi opinión serian los siguientes

Conocimientos de redes Lan, Wifi, curso aqui (curso de redes e internet) Conocimiento de hardware y arquitectrura (pc, celulares, )

Conocimiento de sistemas operativos (Windows,Linux,Mac) (**Curso de administracion de servidores Linux y curso de introduccion a la linea de comandos **)

Conocimiento de arquitectura de software (curso de fundamentos de ingenieria de software)

y todos estos están aquí en Platzi

Juan Pablo Perez

student•

Gracias por el aporte.

Valeria Calcina Cisneros

student•

Complementación del tema • ++Preparación de herramientas:++ recuerda llevar tu kit de herramientas para cualquier escenario posible, porque no sabes con te vas a encontrar. • ++Primer respondiente:++ es la primera persona que se encarga de responder el incidente. • ++Toma de decisiones:++ debes estar preparado para hacer adquisiciones “en vivo”, “estáticas”. • ++Medios de almacenamiento:++ pueden ser distintos tipos de discos duros, o USB, tenemos que adaptarnos a lo que tengamos. • ++Algoritmos Hash:++ son algoritmos de matemáticas que se usan para verificar que toda la información no se haya modificado

Valeria Calcina Cisneros

student•

++Etapas I y II: Identificación y Preservación de Evidencia Digital++ . Etapas del cómputo forense • ++Primera etapa “Identificación”:++ reconocer nuestras fuentes de evidencia. Resultados de la primera etapa Como resultado obtendrás una cadena de custodia y un inventario de fuentes.

• ++Segunda etapa “Preservación”:++ conservar, guardar la evidencia de manera segura Resultados de la segunda etapa Como resultado obtendrás imágenes forenses y reportes de adquisición y verificación.

Luis Enrique Rodríguez Pérez

student•

Buen resumen. El computo forense es un campo de estudio muy interesante.

Michael Arias Fajardo

student•

++Directrices a tener en cuenta según la RFC 3227:++

Para consideraciones legales la evidencia computacional debe ser: Admisible, Autentica, Completa, Fidedigna, Creíble.
Se debe de incluir la Fecha y hora en los procedimientos detallados.
Recopilar la información según su orden de volatilidad de mayor a menor (cache, memoria, archivos temporales, disco, servicios remotos, configuración del equipo, topología de red…).
No realizar análisis forense sobre las copias de respaldo.
Evitar apagar el equipo dado que esto puede destruir la evidencia.
Algunos comandos como 'tar' o 'xcopy' pueden alterar las fechas de acceso a los documentos.
Al desconectar los accesos como en el caso de restringir la red se pueden activar los denominados dispositivo de hombre muerto "deadman switches" que detectan cuando están desconectados de la red y limpian la evidencia.
Administra La cadena de custodia (¿dónde, cuándo y quién? descubre, maneja o examina los datos, ¿cómo? se almacenan y ¿quién? custodiaba la información, ¿cuándo? se realiza el cambio de custodia).
Describe como se encontró la evidencia, documentando de manera precisa y transparente los métodos expertos utilizados en cada paso, incluir a las personas involucradas (rol, identificación, historia).
Debe haber la posibilidad de detectar accesos no autorizados a la evidencia

++Set de herramientas: ++ Deben poder ser requeridas y disponibles de manera local.

Examinar procesos ('ps').
Examinar el estado del sistema ('showrev', 'ifconfig', 'netstat', 'arp').
Generar copias bit a bit ('dd', 'SafeBack').
Generar sumas de comprobación y firmas digitales ('sha1sum', a checksum-enabled 'dd', 'SafeBack', 'pgp').
Generar y examinar imágenes ('gcore', 'gdb').
Automatizar la recolección de evidencia (The Coroner's Toolkit [FAR1999]).

Luis Alberto Fernández

student•

Excelente aporte. Muchas gracias!

Mario Enrique Ascencio Garcia

student•

Excelente resumen, gracias por la informacion.

Walter Omar Barrios Vazquez

student•

Etapa de Identificación. “Llegar a un sitio y determinar del universo de posibilidades que haya cuáles son los dispositivos, cuáles son los medios de almacenamiento que realmente nos van a servir y que van a ser clave para la investigación. Obviamente podemos encontrarnos con un montón de fuentes, un montón de discos duros, computadores, teléfonos, etc. pero tenemos que ser capaces de determinar rápidamente cuáles son realmente los que más nos interesan.” Prof. Juan Pablo Caro

Alexander Torres

student•

– Puntos claves a tener en cuenta: — 6 Preguntas: ¿Cómo aplicar las 6 preguntas del proceso investigativo? — Preparación de herramientas: Un kit de herramientas adecuadas para hacer adquisiciones. — Primer respondiente: ¿Quién es y qué debe hacer? — Toma de decisiones: Adquisiciones “en vivo”, “estáticas”. – Los resultados de esta primera etapa son: cadena de custodia e inventario de fuentes.

Juan Guillermo Perez Cardozo

student•

REalmente interesante , informatica forense :)

Wagner Cadena

student•

Tenemos como referencia un Framework? si academicamente me dicen, Que marco de referencia uso para la extracción de datos que le debería responder? como se llama esta metodología? o que metodología podría mencionar?

Santiago Núñez

student•

Puedes tomar como referencia a la ISO 27037 o al RFC 3227

Raul Lopez

student•

Cadena de Custodia, uno de los resultados mas importante. Estas evidencias no se pueden modificar, ya que si son modificadas, ya no sirven como evidencias.

Jefferson Pacheco Suárez

student•

Cómputo forense: ¿Qué es?

Es tan solo una de las múltiples disciplinas de la ciencia forense.

Forense, del latín forensis: delante del foro. (Que será presentado ante una autoridad).

Evidencia, del latin evidentia: visible o fácil de ver para todos.

Si bien el conocimiento técnico es avanzado, los reportes deben ser sencillos y entendibles para todos.

“Aplicación de la ciencia en un entorno legal.” - Richard Saferstein.

Otra definición podría ser:

“Es el uso de métodos y técnicas científicas probadas, con el fin de identificar, preservar, validar, analizar, interpretar, documentar y presentar evidencia digital obtenida a partir de fuentes de información digital, con el propósito de facilitar la reconstrucción de hechos en una investigación legal, o ayudar a anticipar o prevenir acciones en contra de la ley.”

Evidencia digital

“Cualquier conjunto de datos almacenados de manera digital y que contengan información que puede soportar o refutar una hipótesis de un incidente o acción criminal.”.

6 Preguntas del proceso investigativo

¿Qué?
¿Cómo?
¿Cuándo?
¿Dónde?
¿Quién?
¿Por qué?

Principio de intercambio de Locard

“Siempre que dos objetos entran en contacto transfieren parte del material que incorporan al otro objeto.”

Etapas del cómputo forense:

1- Identificación.

2- Preservación.

3-Análisis.

4-Presentación.

Junior Aguilera

student•

Gracias

Yesseit Gerardo Linares Avila

student•

Interesante la forma en como debe aplicarse las preguntas y el método para utilizar la herramientas

Oscar Jaramillo

student•

Muy interesante

Brandon Nicolas Morales

student•

Esto suena delicioso!!!

Rodolfo Peña

student•

Algoritmos Hash: ¿Qué son y por qué los utilizamos? – Los resultados que obtendremos de esta etapa serán: imágenes forenses y reportes de adquisición y verificación.

Oscar Darío Rendón Zuluaga

student•

La información es la base de toda investigación

ALVARO RODRIGUEZ TAMEZ

student•

Es todo un mundo esta clase.

Jean Nuñez

student•

Identificar -> Detectar,reconocer y determinar las fuentes de informacion

Jean Nuñez

student•

La informacion de un issue no se debe modificar ya que es la evidencia

Ariel Jacob

student•

0.85x

Identificación y Preservación en Computo Forense

Bienvenida y presentación general.

Análisis Forense en Sistemas Windows, Unix y Mac

Etapas del Proceso de Cómputo Forense

Identificación y Preservación en Computo Forense

Análisis y Presentación en Cómputo Forense

Etapa I: Identificación

Elementos Esenciales para la Investigación Forense Digital

Procedimiento de Cadena de Custodia en Investigaciones Forenses

Primer Respondiente en Informática Forense: Roles y Capacitación

Análisis de Imágenes Forenses y Cadena de Custodia

Etapa II: Preservación

Dispositivos de Bloqueo Contra Escritura: Uso y Función

Adquisición de Evidencia con FTK Imager en Informática Forense

Creación de Imágenes Forenses: Proceso y Verificación

Adquisición de Imágenes Forenses con Gaitán Software

Adquisición en Vivo de Memoria RAM para Análisis Forense

Creación de Imágenes Forenses en Linux con Paladín

Creación de Imágenes Forenses con DD y DC3DD en Linux

Adquisición de Imágenes Forenses en Linux con FTK Imager

Creación de Imágenes Forenses con Paladín en Dispositivos Apple

Creación de Imágenes Forenses en Mac con FTK Imager y Modo Target

Algoritmos de Funciones Hash y su Uso en Computación Forense

Adquisición de Imágenes Forenses: Herramientas y Técnicas

Verificación de Imágenes Forenses con Algoritmos Hash

Etapa III: Análisis de Evidencia Pt. 1

"Sistemas de Archivos en Windows: FAT, exFAT y NTFS"

Sistemas de Archivos en Linux y Mac: Funcionamiento y Características

Análisis y Exportación de Imágenes Forenses con FTK Imager

Creación y Gestión de Imágenes Forenses Personalizadas

Análisis Forense de Archivos de Registro en Windows

Análisis Forense de Imágenes de Sistema Operativo Linux

Elaboración de Informes Preliminares en Incidentes Informáticos

Creación de Imágenes Forenses Personalizadas

Elaboración de Informes Preliminares de Investigación

Etapa III: Análisis de Evidencia Pt. 2

Análisis de Archivos SAM con Regripper en Windows

Análisis de Archivos de Registro en Windows con Regripper

Análisis de Logs y Bitácoras en Windows para Monitoreo y Trazabilidad

Análisis Forense del Registro de Windows: Archivos NTUSER.DAT y ShellBags

Ubicaciones clave en el Registro de Windows para la investigación forense

Análisis de Archivos Prefetch en Windows para Investigación Forense

Funcionamiento y Recuperación de Archivos en la Papelera de Reciclaje Windows

Ampliación de Informes de Análisis Forense Digital

Etapa III: Análisis de Evidencia Pt. 3

Diferencias de Configuración y Uso entre Linux y Windows

Proceso de Inicio de Linux: BIOS, GRUB, Kernel e Init

Configuración de Usuarios y Archivos Clave en Linux

Análisis de Archivos de Registro en Sistemas Operativos Linux

Uso de Autopsy para Análisis Forense Automatizado

Ordenar información para informes efectivos

Etapa IV: Presentación.

Estructuración de Informes Ejecutivos en Investigaciones Forenses

Elaboración de Informes Técnicos en Computación Forense

Consejos para Presentar Informes en Procesos Legales

Cómo redactar informes efectivos y profesionales

Conclusiones Finales

Libros y Recursos Clave para la Investigación Digital