Knoppia

Wiki de Informática y otras historias

Herramientas de usuario

Herramientas del sitio

Estás aquí: inicio » master_cs » analisis_forense » introduccion
master_cs:analisis_forense:introduccion

Diferencias

Muestra las diferencias entre dos versiones de la página.

Enlace a la vista de comparación

Ambos lados, revisión anteriorRevisión previa
Próxima revisión		Revisión previa
master_cs:analisis_forense:introduccion [2025/02/05 18:12] thejuanvisumaster_cs:analisis_forense:introduccion [2025/02/19 18:09] (actual) thejuanvisu
Línea 37: Línea 37:
  
 ===== Proceso de investigación Forense ===== ===== Proceso de investigación Forense =====
-==== Preparación del caso ====+==== 1. Preparación del caso ====
 Es importante realizar una preparación previa para poder adquirir las evidencias correctamente y que todo el proceso sea correcto a nivel legal. Es importante realizar una preparación previa para poder adquirir las evidencias correctamente y que todo el proceso sea correcto a nivel legal.
   * Contar con permisos adecuados   * Contar con permisos adecuados
Línea 44: Línea 44:
 Asegurar la escena: Proteger la escena para evitar la modificación o destrucción de las evidencias digitales existentes. Asegurar la escena: Proteger la escena para evitar la modificación o destrucción de las evidencias digitales existentes.
  
-==== Identificación ====+==== 2. Identificación ====
 Consiste en detecatr y localizar posibles fuentes e evidencia digital. Hya que determinar la fuente de los datos, su ubicación y la relación con el incidente investigado. Consiste en detecatr y localizar posibles fuentes e evidencia digital. Hya que determinar la fuente de los datos, su ubicación y la relación con el incidente investigado.
 === Revisión del entorno legal que protege el bien === === Revisión del entorno legal que protege el bien ===
Línea 54: Línea 54:
 Para garantizar la cadena de custodia es necesario documentar donde, cuando y quien recolectó la evidencia, donde, cuando y quien la manejó, quien la ha custodiado, durante cuanto tiempo y como se ha almacenado y si existe un cambio de custodia en algún momento Para garantizar la cadena de custodia es necesario documentar donde, cuando y quien recolectó la evidencia, donde, cuando y quien la manejó, quien la ha custodiado, durante cuanto tiempo y como se ha almacenado y si existe un cambio de custodia en algún momento
  
-==== Adquisición ====+==== 3. Adquisición ====
 Consiste en recopilar las pruebas digitales. Consiste en recopilar las pruebas digitales.
 === Orden de volatilidad === === Orden de volatilidad ===
Línea 77: Línea 77:
  
 === Integridad === === Integridad ===
-Hay que asegurar que los datos clonados son copia exacta de los originales, se pueden usar funciones hash como SHA-2 o SHA-3, otras funciones como SHA-1 y MD5 se consideran obsoletas.+Hay que asegurar que los datos clonados son copia exacta de los originales, se pueden usar funciones hash como SHA-2 o SHA-3, otras funciones como SHA-1 y MD5 se consideran obsoletas. Esto se puede hacer con muchas herramientas: 
 +  * A partir de la imagen clonada, por ejemplo, usando DD y luego SHA-3 desde linux. Se debe tomar el hash de tanto el HDD original como del clonado. Hay mejoras del comando DD que permiten hacer esto directamente. para esto se usa dc3cc con el comando dc3dd if=/devsdb of=/imagen5.img 
 + 
 +==== 4. Preservación ==== 
 +Tratamiento de las evidencias garantizando la cadena de custodia, documentando todos los procedimientos realizados, almacenando la prueba en un sitio seguro con control de accesos. A veces se considera parte de la adquisición 
 +==== 5. Análisis ==== 
 +Se examinan los datos recopilados para identificar patrones, rastrar actividades delictivas y descubrir información relevante para el caso. 
 +  * Recuperación de archivos eliminados 
 +  * Recuperación e identificación de e-mails 
 +  * Búsqueda de acciones específicas de los usuarios de la máquina 
 +  * Búsqueda de archivos específicos 
 +  * Recuperación de los últimos sitios visitados, recuperación de caché de navegador. 
 + 
 +=== Herramientas === 
 + 
 +  * Autopsy: solución completa para el análisis de evidencias, puede ser ampliado con plugins. Es multiplataforma. Pensada para equipos grandes, bastante compleja de usar. 
 +  * Volatiliry: Análisis forense de memoria, ampliable mediante plugins. Es como Autopsy pero para memoria volátil. Se le pasa un volcado de memoria y deja buscar información sobre procesos, contenido del portapapeles, etc... De la versión 2 a la versión 3 se hace un cambio importante y algunas funcionalidades de la 2 no funcionan correctamente en la 3, pero la 3 automatiza algunas funcionalidades facilitando su uso. 
 +  * Cellebrite: Especializada en dispositivos móviles. Es en realidad un producto software, pero se vende preinstalado en unas tablets ruggerizadas. Utiliza herramientas de cracking para obtener datos de un móvil sin manipular sus contenidos. Emite informes sobre los datos obtenidos de un dispositivo móvil. Es muy caro. 
 +  * MOBILedit Forensic: Permite realizar análisis forense de smartwatches, algo que el Cellerite no puede hacer. 
 +  * EnCase Forensic 
 + 
 +=== Distribuciones para análisis forense === 
 +  * SIFT (Sans Investigative Forensic Toolkit): Distro basada en ubuntu con multitud de herramientas orientadas al análisis forense. Es proporcionada por el SANS, una organización reputada del sector. 
 +  * CAINE (Computer Aided INvestigative Environment): Ofrece entorno seguro con bloqueo automático de escritura para dispositivos conectados a nivel de Kernel. 
 +  * Parrot Security OS 
 +  * TSURUGI: Recomendada por el profe 
 + 
 +==== 6. Presentación de los resultados ==== 
 +Se recopila y documenta toda la información obtenida a partir del análisis y se genera un informe pericial. Los expertos en informática pueden ser llamados a testificar en juicios para presentar y explicar sus hallazgos. 
 + 
 +===== La Figura del Perito ===== 
 +El perito es una profesión existente desde 1901. Un perito debe disponer de una titulación oficial relacionada con el campo en el que trabaje. Se trata de un experto entendido en algo. 
 +  * Perito Informático: Profesional experto en informática. OJO: no es experto en el campo forense. 
 +  * Perito Forense: Experto en el campo de las ciencias forenses (Adquisición y análisis de evidencias) 
 +  * Perito Informático Forense: Experto en informática y técnicas forenses. 
 +==== El perito judicial ==== 
 + 
 +  * Es un profesional dotado de conocimientos especializados y reconocidos que está a disposición de un juzgado. Ayudan al juez y a los abogados en lo que esté relacionado con su campo. También se pueden en cargar de la obtención y análisis de pruebas. 
 +  * Hay 2 tipos: 
 +      * De Oficio: Elegido por un juez o tribunal de una lista de peritos que viene de un colegio profesional (Colegio profesional de ingeniería informática de Galicia). 
 +      * De Parte: Elegido por una de las partes y luego aceptado por el juez o tribunal.  
 + 
 +==== Responsabilidad del perito ==== 
 + 
 +Tienen que seguir un código deontológico, que es un código de ética profesional. El principio generar es que se debe obrar son ética y con ciencia. El perito está obligado a guardar el secreto profesional, pero si detecta actividades delictivas debe comunicarlas como su deber como perito.  
 +El perito tiene las siguientes responsabilidades: 
 +  * Responsabilidad civil: Puede tener que pagar idenmnizaciones 
 +  * Responsabilidad Penal: Puede ir a la carcel 
 +  * Responsabilidad disciplinaria: Si no se compadece ante el juez 
 +  * Responsabilidad Profesional: En caso de no cumplir el código deontológico 
 + 
 +=== Cuerpos oficiales de Peritos === 
 +  * Cuerpo Oficial de Peritos (COP): creado y gestionado por los colegios profesionales, que se encagran de recopilar el listado de personas que forman parte de la junta de peritos. Hay 2 colegios para informática: 
 +      * Colegio profesional de Ingeniería técnica en informática (Antigua titulación de 3 años y graduados en ingeniería informática) 
 +      * Colegio profesional de Ingeniería informática (Antigua titulación de 5 años y actuales másters) 
 + 
 +===== Normativa ===== 
 +==== Normativa en España ==== 
 +  * LOPDGDD (Ley Orgánica de Datos Personales y Garantía de los Derechos Digitales): Regula la protección de datos personales en españa y garantiza los derechos digitales de los ciudadanos 
 +  * Código Penal: Tiene cosas específicas relacionadas con delitos informáticos. La actualización más importante de esta es de 2015, relacionada con la directiva 2013/40/UE. 
 +  * Ley de Enjuiciamiento Civil (LEC): Esta relacionada con las pruebas electrónicas y trae cosas sobre peritos en general (Artículos 335 a 352). 
 +  * Ley de Enjuiciamente Criminal (LECr) 
 +  * Ley de servicios de la Socidead de la Información y Correo electrónico: Los prestadores de servicios tienen que conservar los datos 
 +  * Ley de Enjuiciamento Civil 
 +  * Ley orgánica de protección de la Seguridad Ciudadana 
 +  * Ley de Conservación de Datos: Establece que los prestadores de servicios deben preservar durante un período de tiempo datos de los clientes como direcciones IP, Teléfonos, etc... 
 + 
 +==== Recomendación ==== 
 +Las leyes cambian y evolucionan con el tiempo, es difícil estar al tanto de todos los cambios, por ello se recomienda colaborar con alguien de derecho. Se recomienda la siguiente bibliografía: 
 +  * Digital Evidence and Computer Crime. Forensic Sciense computers and the internet 
 +  * File System Forensic Analysis 
 +  * Artículo de McKemmish. What is digital forensics? 
 +  * SANS Digital Forensics and Incident response 
 +  * Forensic focus (Web) 
 +  * DFIRSCience (Youtube) 
 +  * IACIS (Certificación) 
 + 
 + 
  
master_cs/analisis_forense/introduccion.1738779130.txt.gz · Última modificación: 2025/02/05 18:12 por thejuanvisu

Herramientas de la página

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki