escenarios, conceptos y técnicas básicas
janguas
11 y 12 de noviembre de 2011
janguas
11 y 12 de noviembre de 2011
Contenido
1 Previo .................................................................................................................................... 5
2 Introducción .......................................................................................................................... 6
2.1 Presentación .................................................................................................................. 6
2.2 Conceptos previos ......................................................................................................... 6
2.2.1 Conflictos ............................................................................................................... 6
2.2.2 Debido proceso ..................................................................................................... 7
2.3 Tipología de peritos ....................................................................................................... 7
2.4 Principios y cualidades .................................................................................................. 8
2.5 Conocer y probar ........................................................................................................... 9
2.6 Informática forense y disciplinas afines ........................................................................ 9
2.7 La función del perito, responsabilidad y deontología profesional .............................. 10
3 Procedimientos básicos ....................................................................................................... 12
3.1 Aceptación y formalización del encargo ..................................................................... 12
3.2 Entorno de trabajo ...................................................................................................... 12
3.2.1 Seguridad y confidencialidad de la información ................................................. 12
3.2.2 Códigos de caso y estructura de directorios ....................................................... 16
3.2.3 Documento .......................................................................................................... 16
3.3 Procedimientos ........................................................................................................... 19
3.4 Clientes ........................................................................................................................ 20
3.5 Publicaciones ............................................................................................................... 21
4 Método y discurso ............................................................................................................... 22
4.1 Formalización .............................................................................................................. 22
4.1.1 Resumen .............................................................................................................. 22
4.1.2 Particularidades de las evidencias informáticas ................................................. 22
4.1.3 Previo................................................................................................................... 23
4.1.4 Objetivo ............................................................................................................... 23
4.1.5 Objeto: la prueba informática ............................................................................. 23
4.1.6 Alcance ................................................................................................................ 24
4.1.7 Contexto histórico y evolución ............................................................................ 24
4.1.8 Evolución histórica .............................................................................................. 24
4.1.9 Estado actual ....................................................................................................... 26
4.1.10 Estado general de la prueba en informática ....................................................... 30
4.1.11 Estudio epistemológico ....................................................................................... 32
1 Previo .................................................................................................................................... 5
2 Introducción .......................................................................................................................... 6
2.1 Presentación .................................................................................................................. 6
2.2 Conceptos previos ......................................................................................................... 6
2.2.1 Conflictos ............................................................................................................... 6
2.2.2 Debido proceso ..................................................................................................... 7
2.3 Tipología de peritos ....................................................................................................... 7
2.4 Principios y cualidades .................................................................................................. 8
2.5 Conocer y probar ........................................................................................................... 9
2.6 Informática forense y disciplinas afines ........................................................................ 9
2.7 La función del perito, responsabilidad y deontología profesional .............................. 10
3 Procedimientos básicos ....................................................................................................... 12
3.1 Aceptación y formalización del encargo ..................................................................... 12
3.2 Entorno de trabajo ...................................................................................................... 12
3.2.1 Seguridad y confidencialidad de la información ................................................. 12
3.2.2 Códigos de caso y estructura de directorios ....................................................... 16
3.2.3 Documento .......................................................................................................... 16
3.3 Procedimientos ........................................................................................................... 19
3.4 Clientes ........................................................................................................................ 20
3.5 Publicaciones ............................................................................................................... 21
4 Método y discurso ............................................................................................................... 22
4.1 Formalización .............................................................................................................. 22
4.1.1 Resumen .............................................................................................................. 22
4.1.2 Particularidades de las evidencias informáticas ................................................. 22
4.1.3 Previo................................................................................................................... 23
4.1.4 Objetivo ............................................................................................................... 23
4.1.5 Objeto: la prueba informática ............................................................................. 23
4.1.6 Alcance ................................................................................................................ 24
4.1.7 Contexto histórico y evolución ............................................................................ 24
4.1.8 Evolución histórica .............................................................................................. 24
4.1.9 Estado actual ....................................................................................................... 26
4.1.10 Estado general de la prueba en informática ....................................................... 30
4.1.11 Estudio epistemológico ....................................................................................... 32
4.1.12 Conclusiones ........................................................................................................ 35
4.2 Sobre la pericial ........................................................................................................... 35
4.3 Actividades afines ........................................................................................................ 36
4.3.1 Resumen .............................................................................................................. 36
4.3.2 Peritaje en informática, informática forense y actividades afines ...................... 37
4.3.3 El perfil del perito en informática ....................................................................... 38
4.3.4 La excelencia en la disciplina: organizaciones y empresas ................................. 39
4.3.5 Particularidades de la actividad .......................................................................... 40
4.3.6 Falta de estandarización...................................................................................... 41
4.3.7 Conclusiones ........................................................................................................ 41
4.4 Tipología de peritajes .................................................................................................. 41
4.4.1 Acciones .............................................................................................................. 42
4.4.2 Análisis ................................................................................................................. 43
4.5 La cadena de custodia ................................................................................................. 46
4.6 Precauciones en la adquisición de evidencias ............................................................ 46
4.6.1 Decálogo .............................................................................................................. 46
4.7 Discurso ....................................................................................................................... 47
4.7.1 Introducción ........................................................................................................ 47
4.7.2 Actividad del perito ............................................................................................. 47
4.7.3 Convencimiento del juzgador .............................................................................. 48
4.8 Métricas ....................................................................................................................... 49
4.8.1 Resumen .............................................................................................................. 49
4.8.2 Métrica: la efectividad probatoria ...................................................................... 50
4.8.3 Actores ................................................................................................................ 50
4.8.4 La cadena de valor de la prueba en informática ................................................. 52
4.8.5 Fases .................................................................................................................... 52
4.8.6 Proposición de la prueba ..................................................................................... 52
4.8.7 Aceptación ........................................................................................................... 52
4.8.8 Ejecución ............................................................................................................. 52
4.8.9 Adquisición y traslado de evidencias informáticas al proceso ............................ 53
4.8.10 Nivel semántico ................................................................................................... 53
4.8.11 Problemas en la proposición, aceptación y ejecución de la prueba ................... 54
4.8.12 Contraste ............................................................................................................. 55
4.8.13 Convencimiento .................................................................................................. 56
4.8.14 Conclusión ........................................................................................................... 56
5 Informática Forense ............................................................................................................ 57
5.1 Previo .......................................................................................................................... 57
5.1.1 Teclado americano .............................................................................................. 57
5.2 Distribuciones y “suites” forenses .............................................................................. 57
5.3 Dispositivos, particiones, unidades e imágenes .......................................................... 58
5.4 Clonado de discos ........................................................................................................ 60
5.4.1 dd / dcfldd / dc3dd .............................................................................................. 60
5.4.2 Ddrescue.............................................................................................................. 61
5.4.3 Ejemplos .............................................................................................................. 61
5.5 Cálculo de hashes ........................................................................................................ 63
5.6 Recuperación de datos borrados ................................................................................ 64
5.7 Búsqueda ..................................................................................................................... 67
5.8 Borrado de información .............................................................................................. 67
5.9 Carving ......................................................................................................................... 67
5.10 Autopsy ....................................................................................................................... 67
5.11 Análisis de correo electrónico ..................................................................................... 73
6 Caso Práctico: Informática Forense .................................................................................... 74
6.1 Introducción ................................................................................................................ 74
6.2 Material necesario ...................................................................................................... 74
6.3 Instrucciones previas ................................................................................................... 74
6.3.1 Previo: limpiar el medio ...................................................................................... 74
6.3.2 Previo: particionar y formatear ........................................................................... 76
6.3.3 Previo: crear los ficheros ..................................................................................... 78
6.3.4 Previo: borrar los ficheros ................................................................................... 81
6.3.5 Clonar el medio ................................................................................................... 81
6.3.6 Crear el caso con Autopsy ................................................................................... 83
6.4 Propuesta de análisis ................................................................................................... 88
6.4.1 Con Autopsy ........................................................................................................ 88
6.4.2 Recuperación de los ficheros borrados ............................................................... 95
6.4.3 Con Bulk_Extractor .............................................................................................. 98
6.5 Resultados y ejercicios adicionales ........................................................................... 100
7 Caso Práctico: Pericial ....................................................................................................... 101
8 Bibliografía y referencias ................................................................................................... 1
4.2 Sobre la pericial ........................................................................................................... 35
4.3 Actividades afines ........................................................................................................ 36
4.3.1 Resumen .............................................................................................................. 36
4.3.2 Peritaje en informática, informática forense y actividades afines ...................... 37
4.3.3 El perfil del perito en informática ....................................................................... 38
4.3.4 La excelencia en la disciplina: organizaciones y empresas ................................. 39
4.3.5 Particularidades de la actividad .......................................................................... 40
4.3.6 Falta de estandarización...................................................................................... 41
4.3.7 Conclusiones ........................................................................................................ 41
4.4 Tipología de peritajes .................................................................................................. 41
4.4.1 Acciones .............................................................................................................. 42
4.4.2 Análisis ................................................................................................................. 43
4.5 La cadena de custodia ................................................................................................. 46
4.6 Precauciones en la adquisición de evidencias ............................................................ 46
4.6.1 Decálogo .............................................................................................................. 46
4.7 Discurso ....................................................................................................................... 47
4.7.1 Introducción ........................................................................................................ 47
4.7.2 Actividad del perito ............................................................................................. 47
4.7.3 Convencimiento del juzgador .............................................................................. 48
4.8 Métricas ....................................................................................................................... 49
4.8.1 Resumen .............................................................................................................. 49
4.8.2 Métrica: la efectividad probatoria ...................................................................... 50
4.8.3 Actores ................................................................................................................ 50
4.8.4 La cadena de valor de la prueba en informática ................................................. 52
4.8.5 Fases .................................................................................................................... 52
4.8.6 Proposición de la prueba ..................................................................................... 52
4.8.7 Aceptación ........................................................................................................... 52
4.8.8 Ejecución ............................................................................................................. 52
4.8.9 Adquisición y traslado de evidencias informáticas al proceso ............................ 53
4.8.10 Nivel semántico ................................................................................................... 53
4.8.11 Problemas en la proposición, aceptación y ejecución de la prueba ................... 54
4.8.12 Contraste ............................................................................................................. 55
4.8.13 Convencimiento .................................................................................................. 56
4.8.14 Conclusión ........................................................................................................... 56
5 Informática Forense ............................................................................................................ 57
5.1 Previo .......................................................................................................................... 57
5.1.1 Teclado americano .............................................................................................. 57
5.2 Distribuciones y “suites” forenses .............................................................................. 57
5.3 Dispositivos, particiones, unidades e imágenes .......................................................... 58
5.4 Clonado de discos ........................................................................................................ 60
5.4.1 dd / dcfldd / dc3dd .............................................................................................. 60
5.4.2 Ddrescue.............................................................................................................. 61
5.4.3 Ejemplos .............................................................................................................. 61
5.5 Cálculo de hashes ........................................................................................................ 63
5.6 Recuperación de datos borrados ................................................................................ 64
5.7 Búsqueda ..................................................................................................................... 67
5.8 Borrado de información .............................................................................................. 67
5.9 Carving ......................................................................................................................... 67
5.10 Autopsy ....................................................................................................................... 67
5.11 Análisis de correo electrónico ..................................................................................... 73
6 Caso Práctico: Informática Forense .................................................................................... 74
6.1 Introducción ................................................................................................................ 74
6.2 Material necesario ...................................................................................................... 74
6.3 Instrucciones previas ................................................................................................... 74
6.3.1 Previo: limpiar el medio ...................................................................................... 74
6.3.2 Previo: particionar y formatear ........................................................................... 76
6.3.3 Previo: crear los ficheros ..................................................................................... 78
6.3.4 Previo: borrar los ficheros ................................................................................... 81
6.3.5 Clonar el medio ................................................................................................... 81
6.3.6 Crear el caso con Autopsy ................................................................................... 83
6.4 Propuesta de análisis ................................................................................................... 88
6.4.1 Con Autopsy ........................................................................................................ 88
6.4.2 Recuperación de los ficheros borrados ............................................................... 95
6.4.3 Con Bulk_Extractor .............................................................................................. 98
6.5 Resultados y ejercicios adicionales ........................................................................... 100
7 Caso Práctico: Pericial ....................................................................................................... 101
8 Bibliografía y referencias ................................................................................................... 1
No hay comentarios:
Publicar un comentario
Nota: solo los miembros de este blog pueden publicar comentarios.