Buscar en el Blog

Mostrando entradas con la etiqueta man. Mostrar todas las entradas
Mostrando entradas con la etiqueta man. Mostrar todas las entradas

martes, 23 de septiembre de 2014

Peritaje en Informática



escenarios, conceptos y técnicas básicas
janguas
11 y 12 de noviembre de 2011

Contenido
1 Previo .................................................................................................................................... 5
2 Introducción .......................................................................................................................... 6
2.1 Presentación .................................................................................................................. 6
2.2 Conceptos previos ......................................................................................................... 6
2.2.1 Conflictos ............................................................................................................... 6
2.2.2 Debido proceso ..................................................................................................... 7
2.3 Tipología de peritos ....................................................................................................... 7
2.4 Principios y cualidades .................................................................................................. 8
2.5 Conocer y probar ........................................................................................................... 9
2.6 Informática forense y disciplinas afines ........................................................................ 9
2.7 La función del perito, responsabilidad y deontología profesional .............................. 10
3 Procedimientos básicos ....................................................................................................... 12
3.1 Aceptación y formalización del encargo ..................................................................... 12
3.2 Entorno de trabajo ...................................................................................................... 12
3.2.1 Seguridad y confidencialidad de la información ................................................. 12
3.2.2 Códigos de caso y estructura de directorios ....................................................... 16
3.2.3 Documento .......................................................................................................... 16
3.3 Procedimientos ........................................................................................................... 19
3.4 Clientes ........................................................................................................................ 20
3.5 Publicaciones ............................................................................................................... 21
4 Método y discurso ............................................................................................................... 22
4.1 Formalización .............................................................................................................. 22
4.1.1 Resumen .............................................................................................................. 22
4.1.2 Particularidades de las evidencias informáticas ................................................. 22
4.1.3 Previo................................................................................................................... 23
4.1.4 Objetivo ............................................................................................................... 23
4.1.5 Objeto: la prueba informática ............................................................................. 23
4.1.6 Alcance ................................................................................................................ 24
4.1.7 Contexto histórico y evolución ............................................................................ 24
4.1.8 Evolución histórica .............................................................................................. 24
4.1.9 Estado actual ....................................................................................................... 26
4.1.10 Estado general de la prueba en informática ....................................................... 30
4.1.11 Estudio epistemológico ....................................................................................... 32
4.1.12 Conclusiones ........................................................................................................ 35
4.2 Sobre la pericial ........................................................................................................... 35
4.3 Actividades afines ........................................................................................................ 36
4.3.1 Resumen .............................................................................................................. 36
4.3.2 Peritaje en informática, informática forense y actividades afines ...................... 37
4.3.3 El perfil del perito en informática ....................................................................... 38
4.3.4 La excelencia en la disciplina: organizaciones y empresas ................................. 39
4.3.5 Particularidades de la actividad .......................................................................... 40
4.3.6 Falta de estandarización...................................................................................... 41
4.3.7 Conclusiones ........................................................................................................ 41
4.4 Tipología de peritajes .................................................................................................. 41
4.4.1 Acciones .............................................................................................................. 42
4.4.2 Análisis ................................................................................................................. 43
4.5 La cadena de custodia ................................................................................................. 46
4.6 Precauciones en la adquisición de evidencias ............................................................ 46
4.6.1 Decálogo .............................................................................................................. 46
4.7 Discurso ....................................................................................................................... 47
4.7.1 Introducción ........................................................................................................ 47
4.7.2 Actividad del perito ............................................................................................. 47
4.7.3 Convencimiento del juzgador .............................................................................. 48
4.8 Métricas ....................................................................................................................... 49
4.8.1 Resumen .............................................................................................................. 49
4.8.2 Métrica: la efectividad probatoria ...................................................................... 50
4.8.3 Actores ................................................................................................................ 50
4.8.4 La cadena de valor de la prueba en informática ................................................. 52
4.8.5 Fases .................................................................................................................... 52
4.8.6 Proposición de la prueba ..................................................................................... 52
4.8.7 Aceptación ........................................................................................................... 52
4.8.8 Ejecución ............................................................................................................. 52
4.8.9 Adquisición y traslado de evidencias informáticas al proceso ............................ 53
4.8.10 Nivel semántico ................................................................................................... 53
4.8.11 Problemas en la proposición, aceptación y ejecución de la prueba ................... 54
4.8.12 Contraste ............................................................................................................. 55
4.8.13 Convencimiento .................................................................................................. 56
4.8.14 Conclusión ........................................................................................................... 56
5 Informática Forense ............................................................................................................ 57
5.1 Previo .......................................................................................................................... 57
5.1.1 Teclado americano .............................................................................................. 57
5.2 Distribuciones y “suites” forenses .............................................................................. 57
5.3 Dispositivos, particiones, unidades e imágenes .......................................................... 58
5.4 Clonado de discos ........................................................................................................ 60
5.4.1 dd / dcfldd / dc3dd .............................................................................................. 60
5.4.2 Ddrescue.............................................................................................................. 61
5.4.3 Ejemplos .............................................................................................................. 61
5.5 Cálculo de hashes ........................................................................................................ 63
5.6 Recuperación de datos borrados ................................................................................ 64
5.7 Búsqueda ..................................................................................................................... 67
5.8 Borrado de información .............................................................................................. 67
5.9 Carving ......................................................................................................................... 67
5.10 Autopsy ....................................................................................................................... 67
5.11 Análisis de correo electrónico ..................................................................................... 73
6 Caso Práctico: Informática Forense .................................................................................... 74
6.1 Introducción ................................................................................................................ 74
6.2 Material necesario ...................................................................................................... 74
6.3 Instrucciones previas ................................................................................................... 74
6.3.1 Previo: limpiar el medio ...................................................................................... 74
6.3.2 Previo: particionar y formatear ........................................................................... 76
6.3.3 Previo: crear los ficheros ..................................................................................... 78
6.3.4 Previo: borrar los ficheros ................................................................................... 81
6.3.5 Clonar el medio ................................................................................................... 81
6.3.6 Crear el caso con Autopsy ................................................................................... 83
6.4 Propuesta de análisis ................................................................................................... 88
6.4.1 Con Autopsy ........................................................................................................ 88
6.4.2 Recuperación de los ficheros borrados ............................................................... 95
6.4.3 Con Bulk_Extractor .............................................................................................. 98
6.5 Resultados y ejercicios adicionales ........................................................................... 100
7 Caso Práctico: Pericial ....................................................................................................... 101
8 Bibliografía y referencias ................................................................................................... 1