Taller de cómputo forense

ÁREA: SEGURIDAD INFORMÁTICA

PRESENTACIÓN

Ante la inseguridad que afecta a los sistemas de información, se han creado diversas herramientas para que el administrador de sistemas de cómputo y de redes de computadoras, desarrolle procedimientos y técnicas basadas en metodologías, para identificar, recopilar, preservar, obtener, interpretar, registrar y presentar evidencias informáticas. Entre sus muchas aplicaciones, el cómputo forense es una disciplina auxiliar para la justicia moderna, pues permite enfrentar los desafíos inherentes al rastreo de las técnicas que emplean los delincuentes informáticos. Además, puede conducir a la verdad en un proceso legal, con base en una evidencia digital.

PERFIL DE INGRESO

Este curso está dirigido a administradores de sistemas de cómputo y redes de computadoras, que deseen aplicar las metodologías para identificar, recopilar, preservar, obtener, interpretar, registrar y presentar evidencias ante posibles daños causados por criminales, así como crear y aplicar medidas para prevenir incidentes similares. Se requiere haber cursado o contar con conocimientos equivalentes al curso Introducción a la seguridad en cómputo, además de tener experiencia en la gestión de redes y sistemas de cómputo.

OBJETIVO

El participante adquirirá conocimientos para realizar un análisis forense, con base en metodologías, técnicas y diversas herramientas. También, utilizará y configurará herramientas para la realización de un análisis exitoso. Finalmente, el curso ayudará a crear conciencia sobre la importancia y los alcances que el cómputo forense tiene y tendrá en el futuro, en prácticamente todas las actividades de la sociedad.

TEMARIO

CONCEPTOS BÁSICOS

1.1	Investigación digital
1.2	Tipos de datos digitales
1.3	Técnicas Anti-forenses
1.4	Volatilidad de los datos
1.5	Credibilidad de los datos
1.6	Aceptabilidad, integridad, credibilidad, relación causa-efecto, carácter repetible, documentación
1.7	Línea del tiempo y la importancia del análisis del tiempo
1.8	Metodología general forense
1.9	Extracción de evidencia física y lógica

RECOLECCIÓN Y ANÁLISIS DE EVIDENCIA VOLÁTIL EN EQUIPOS (LIVE RESPONSE)

2.1

En sistemas operativos Windows

2.1.1	Memoria volátil, conexiones, procesos, archivos abiertos, etcétera
2.1.2	Ejercicio de captura en vivo de datos en un sistema Windows (llaves de registro, volcado de memoria)

2.2

En sistemas operativos Linux

2.2.1	Memoria volátil, conexiones, procesos, archivos sospechosos, etcétera
2.2.2	Caso práctico: intrusión en servidor Web de análisis de datos de una captura en vivo

CAPTURA DE EVIDENCIA VOLÁTIL EN RED

3.1

Tipo de evidencia

3.1.1

Datos completos, de sesión, alertas, estadísticos, puertos

3.2

Captura de evidencia en red

ANÁLISIS DE EVIDENCIA EN RED

4.1	Análisis de incidentes en Windows, basado en evidencia de capturas de red
4.2	Análisis de incidentes en Linux, basado en evidencia de capturas de red
4.3	Caso práctico Intrusión en Servidor Web empleando Snort y WireShark

DUPLICADO DE MEDIOS DE ALMACENAMIENTO

5.1

Conceptos básicos de estructuras de discos

5.2

Eercicio de generación de una imagen de una memoria USB en Windows o Linux

5.3

Exploración y análisis de volúmenes

5.3.1

Extracción y recuperación de particiones

INVESTIGACIÓN FORENSE EN SISTEMAS DE ARCHIVOS

6.1	Análisis de sistema de archivos FAT y NTFS
6.2	Ejercicio de recuperación de evidencia específica mediante FTK Imager y Autopsy
6.3	Ejercicio de uso de herramientas de descifrado ante la presencia de una malware

ANÁLISIS DE SISTEMAS DE ARCHIVOS

7.1	Espacio asignado y no asignado
7.2	Recuperación de archivos eliminados
7.3	Búsqueda de cadenas de texto
7.4	Análisis de metadatos
7.5	Caso práctico Intrusión en Servidor Web empleando FTK Imager y Autopsy

ANÁLISIS FORENSE DE APLICACIONES

8.1	Correo electrónico (reconstrucción de la actividad y rastreo de remitentes)
8.2	Navegación web (reconstrucción de la actividad) en Linux o Windows
8.3	Registro de Windows
8.4	Caso práctico Alteración de Datos mediante análisis de evidencia en correo y actividad en web, empleando diversas herramientas

INTRODUCCIÓN AL FORENSE EN DISPOSITIVOS MÓVILES

PERFIL DE EGRESO

Los conocimientos adquiridos permitirán al participante identificar, obtener, recopilar, preservar, interpretar, registrar y presentar las evidencias de daños causados por criminales, así como crear y aplicar medidas para prevenir incidentes que podrían comprometer la seguridad de sus sistemas de información.

REQUISITOS ACADÉMICOS

Contar con licenciatura, carrera técnica o estudios en curso, en el campo de la informática, telecomunicaciones, ciencias básicas, ingenierías o carreras afines al cómputo. También se requiere el Inglés a nivel de comprensión de lectura.

DURACIÓN

20 horas.

RECURSOS INFORMÁTICOS

BIBLIOGRAFÍA

Lin, X. (2018). Introductory Computer Forensics: A Hands-on Practical Approach.
Springer, Kävrestad, J. (2020). Fundamentals of Digital Forensics. Springer Publishing.
EC-Council. (2009). Computer Forensics: Investigating Data and Image Files. Cengage Learning.
Hayes, D. R. (2020). A Practical Guide to Digital Forensics Investigations. Pearson It Certification.
Reddy, Niranjan. (2019). Practical Cyber Forensics. An Incident-Based Approach to Forensic Investigations. Apress.
EC-Council. (2009). Computer Forensics: Investigating Network Intrusions and Cyber Crime. Cengage Learning.
Domínguez, F. L. (2014). Introducción a la Informática Forense. Grupo Editorial RA-MA.
Loarte Cajamarca, B. G. y Grijalva Lima, J. S. (2018). Desarrollo de una Guía Metodológica para el Análisis Forense en Equipos de Cómputo con Sistema Operativo Mac OS X. Revista Publicando, Vol. 5, No. 14.
Domínguez, F. L. (2015). Investigación Forense de dispositivos móviles Android. Grupo Editorial RA-MA.
US-CERT. (2008). Computer Forensics. Government Organization.
Casey, Eoghan. (2011). Digital Evidence and Computer Crime. Forensic Science, Computers, and the Internet. Academic Press.
Laud, Peeter. (2011). Information Security Technology for Applications. 16th Nordic Conference on Secure IT Systems, Revised Select Papers.

FUENTES ELECTRÓNICAS

Computer Forensics World. (2022).
//www.computerforensicsworld.com

Diciembre 2023

101030/C