Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
TEMA
TEMA 1 Esquema
Qu?
Cmo?
Quin?
Evidencias
Medio de prueba
Objetivos de un
anlisis forense
Investigacin
Qu es la
informtica forense?
Presentar
Analizar
Preservar
Recolectar
Etapas de un anlisis
forense
Documentacin
y hash
Integridad
Autenticidad
Trazabilidad
Asegurar NO
alteracin
Cadena de custodia
Anlisis forense
Esquema
Anlisis forense
Ideas clave
1.1. Cmo estudiar este tema?
Para estudiar este tema lee los siguientes documentos, adems de las Ideas clave:
El artculo Qu es la informtica forense o Forensic?, publicado por Microsoft en:
http://www.microsoft.com/business/es-es/content/paginas/article.aspx?cbcid=121
Tambin es interesante la lectura del artculo Recovering and Examining Computer
Forensic Evidence, publicado por el FBI, especialmente, la introduccin y la
definicin de informtica forense que en l aparecen. El artculo est disponible en:
http://www.fbi.gov/about-us/lab/forensic-science-communications/fsc/oct2000/computer.htm
Anlisis forense
De la definicin anterior hay que sacar dos ideas clave, que la informtica forense es un
proceso de investigacin y que las evidencias que obtengamos deben de poder ser
presentadas como medio de prueba en un procedimiento judicial.
Otros autores (Brown, 2010) definen la informtica forense como The art and science
of applying computer science knowledge and skills to aid the legal process.
Brown cataloga a la vez a la informtica forense como arte y como ciencia. Porque,
como comenta el autor, aunque la informtica forense se base en procedimientos ya
definidos o en el uso de herramientas que ayuden al investigador, los buenos
investigadores forenses tienen la habilidad de ir un paso ms all en la
investigacin y llegar a pensar como el autor al que se est intentando encontrar.
Un buen analista forense, tiene que disfrutar de su trabajo siendo a la vez un gran
profesional.
Desde un punto de vista ms empresarial (Qu es la informtica forense o Forensic?),
podramos ver la informtica forense como un fin:
La informtica forense permite la solucin de conflictos tecnolgicos relacionados con
seguridad informtica y proteccin de datos. Gracias a ella, las empresas obtienen una
respuesta a problemas de privacidad, competencia desleal, fraude, robo de informacin
confidencial y/o espionaje industrial surgidos a travs de uso indebido de las
tecnologas de la informacin. Mediante sus procedimientos se identifican, aseguran,
extraen, analizan y presentan pruebas generadas y guardadas electrnicamente para
que puedan ser aceptadas en un proceso legal.
http://cert.inteco.es/glossary/Formacion/Glosario/Informatica_forense_glosario
Anlisis forense
Ficheros de logs
Etc.
Qu se ha alterado?
Cmo se ha alterado?
Para responder a la primera de las preguntas, hay que ser capaz de detectar los
accesos o cambios no autorizados que se han realizado en el sistema. Estos
cambios no tienen que consistir nicamente en la alteracin fsica de un fichero,
modificndolo o eliminndolo, tambin hay que ser capaces de saber qu ficheros
fueron accedidos, aunque solo se trate de la lectura y/o copia de los mismos.
Un ejemplo de acceso no autorizado, podra ser el acceso a la informacin del
telfono mvil de una persona, cmo ha sucedido con el telfono de algunos
famosos, en los que un atacante accede a los datos contenidos en el mismo, sin
alterarlos.
Anlisis forense
Preservar
Analizar
Presentar
Anlisis forense
Anlisis forense
Las conclusiones a las que los peritos han llegado en base a los resultados
obtenidos.
Anlisis forense
Anlisis forense
Lo + recomendado
Lecciones magistrales
La cadena de custodia
En esta leccin magistral se explica ms en profundidad qu es la cadena de custodia
y los motivos por los cuales es tan importante. Adems de presentar algunos casos en
los que por deficiencias en la cadena de custodia se invalid el trabajo de los peritos
forenses.
No dejes de ver
Entrevista a Juan Martos, ex responsable del rea de informtica forense
de la empresa Recovery Labs
El vdeo contiene una entrevista realizada por la cadena autonmica TV3 al ex
responsable (cuando le fue realizada la entrevista todava responsable) del rea de
informtica forense en la empresa Recovery Labs, Juan Martos, en la que habla sobre la
labor del perito forense. Aunque el principio del vdeo se encuentra en valenciano, la
entrevista esta realizada ntegramente en castellano.
TEMA 1 Lo + recomendado
Anlisis forense
http://www.youtube.com/watch?v=5-u34bW2jNU
http://www.youtube.com/watch?v=Mtudnh-79jE
http://www.youtube.com/watch?v=nYrLwbBl_sE
TEMA 1 Lo + recomendado
Anlisis forense
+ Informacin
Webgrafa
Informtica forense
Para comenzar en el mundo de la informtica forense, aqu tenis algunas direcciones
de pginas web especficas donde podris encontrar multitud de recursos relacionados
con el mundo forense.
Un informtico en el lado del mal (http://www.elladodelmal.com/)
Forensics Focus (http://www.forensicfocus.com/)
Computer Forensics World (http://www.computerforensicsworld.com/)
Anti-Forensics (http://www.anti-forensics.com/blog/)
Forensics Magacine (http://www.forensicmag.com/)
SANS (http://www.sans.org/)
Cert (http://www.cert.org/)
National Criminal Justicie Reference Service (https://www.ncjrs.gov/)
National Institute of Justice (http://nij.gov/)
FBI: Cyber Crime (http://www.fbi.gov/about-us/investigate/cyber/cyber/)
Bibliografa
Brown, C. L. T. (2010). Computer evidence. Collection and preservation. Boston:
Course Technology PTR.
NIST. (2006). Performing the Forensic Process. En Guide to integrating forensic
techniques into incident response.
TEMA 1 + Informacin
Anlisis forense
Test
1. Cules de las siguientes definiciones se corresponden con la definicin de
informtica forense?
A. La informtica forense es un proceso de investigacin.
B. Las evidencias que obtengamos de un anlisis forense deben de poder ser
presentadas como medio de prueba.
C. Algunos autores catalogan la informtica forense como un arte.
D. Todas las anteriores son correctas.
2. Una evidencia digital
A. No almacena informacin en formato electrnico, ya que lo almacena de forma
fsica.
B. Permite constatar un hecho investigado o ayuda a su esclarecimiento.
C. No almacenan informacin en ningn formato.
D. Almacena informacin en formato electrnico de forma fsica o lgica.
3. Cul de estos NO es un objetivo de un anlisis forense:
A. Averiguar qu se ha alterado.
B. Descubrir por qu se ha realizado la alteracin.
C. Saber cmo se ha realizado la alteracin.
D. Descubrir quin ha realizado la alteracin.
4. Cuando intentamos responder a la pregunta Quin ha realizado la alteracin?...
A. Tenemos que descubrir a la persona fsica responsable de la alteracin.
B. Podemos llegar a descubrir el usuario (local o remoto) que realiz la
modificacin.
C. Podemos obtener la direccin IP o MAC del equipo desde el que se realiz la
alteracin.
D. Las respuestas B y C son correctas.
5. Las etapas de un anlisis forense son:
A. Recolectar, reservar, analizar y presentar.
B. Recolectar, preservar y analizar.
C. Recolectar, preservar, analizar y presentar.
D. Recolectar, preservar y presentar.
TEMA 1 Test
Anlisis forense
TEMA 1 Test