Contenido

INtroduCCIN
LA INformtICA foreNSe, uNA dISCIPLINA tCNICo-LegAL 1
CAPtuLo 1
LA ComPutACIN foreNSe, uNA PerSPeCtIvA de treS roLeS 13
Introduccin 13
1.1 Las evidencias tradicionales 14
1.2 El informtico forense 14
1.3 La faceta del intruso 15
1.3.1 Los roles del intruso 16
1.4 El investigador 17
CAPtuLo 2
eL INtruSo y SuS tCNICAS 19
Introduccin 19
2.1 Breve historia de los hackers 20
2.2 La mente de los intrusos 26
2.2.1 Tcnicas bsicas de hacking 35
2.2.2 Tcnicas avanzadas de hacking 43
2.3 Identifcacin de rastros de los ataques 49
PArA ProfuNdIzAr
PrCtICA de ASALto A uNA SeSIN tCP 59
1. Conceptos bsicos 59
2 Estructura de un asalto a una sesin TCP 62
3 Herramientas para asaltar una sesin TCP 64
4. Herramienta Hunt 65
5. Prctica del asalto de una sesin TCP 66
6. Rastros del asalto a la sesin TCP 69
7. Correccin del asalto 70
CAPtuLo 3
eL AdmINIStrAdor y LA INfrAeStruCturA de LA SegurIdAd INformtICA 75
Introduccin 75
3.1 Roles y responsabilidades del administrador de sistemas 76
3.2 Consideraciones de diseo de infraestructuras de seguridad 82
3.2.1 Inseguridad centralizada 83
3.2.2 Inseguridad decentralizada 84
3.2.3 Inseguridad en el Web 89
3.2.4 Inseguridad orientada a los servicios 92
3.2.5 Evolucin de la inseguridad informtica 94
3.3 Tcnicas bsicas para el diseo y la generacin del rastro 96
3.4 Auditabilidad y trazabilidad 100
xi
ALFAOMEGA
COMPUTACIN FORENSE
3.4.1 Auditabilidad 100
3.4.2 Trazabilidad 104
3.5 Consideraciones jurdicas y aspectos de los rastros en las plataformas
tecnolgicas 107
3.5.1. Autenticidad 108
3.5.2 Confabilidad 110
3.5.3 Sufciencia 111
3.5.4 Conformidad con las leyes y las regulaciones
de la administracin de la justicia 112
PArA ProfuNdIzAr
LoS IdS y LoS IPS: uNA ComPArACIN PrCtICA 117
1. IDS: Sistemas de deteccin de intrusos 117
1.1 Clasifcacin por la metodologa empleada 120
1.2 Clasifcacin por caractersticas intrnsecas del sistema 121
2. IPS: Sistemas de prevencin de intrusos (Intrusion Prevention Systems) 123
2.1 Los IPS inline 125
2.2 Switches de nivel de aplicacin 126
2.3 Firewalls de aplicacin / IDS 127
2.4 Switches hbridos 128
2.5 Aplicaciones engaosas (deceptive) 129
2.6 Una comparacin prctica entre un IDS y un IPS 129
2.6.1 Deteccin del ataque con el IDS 132
2.6.2 Deteccin del ataque con el IPS 135
CAPtuLo 4
eL INveStIgAdor y LA CrImINALIStICA dIgItAL 141
Introduccin 141
4.1 Introduccin a la criminalstica digital 143
4.2 Roles y responsabilidades del investigador forense en informtica 148
4.3 Modelos y procedimientos para adelantar investigaciones forenses
en informtica 153
4.3.1 Algunos modelos de investigaciones forenses en informtica 154
4.4 Credenciales para los investigadores forenses en informtica 159
4.4.1 Iacis 161
4.4.2 HTCN 161
4.4.3 Iisfa 163
4.4.4 Isfce 163
4.4.5 SANS Institute 164
4.5 Informes de investigacin y presentacin de pruebas informticas 169
4.5.1 Teora bsica de la preparacin de informes 169
4.5.2 Consideraciones bsicas sobre los informes periciales 172
4.5.3 Estructura base de un informe pericial 173
4.5.4 Estructura general 173
PArA ProfuNdIzAr
ANLISIS de dAtoS: uNA ProPueStA metodoLgICA
y Su APLICACIN eN the SLeuth y eNCASe 179
1. Metodologa de examen y anlisis de datos 180
2. Introduccin a Encase 185
3. Introduccina a Sleuth Kit y Autopsy 191
4. Caso de prueba 197
xii
ALFAOMEGA
JEIMY J. CANO
CAPtuLo 5
retoS y rIeSgoS emergeNteS PArA LA ComPutACIN foreNSe 217
5.1 La formacin de especialistas en informtica forense 217
5.2 Confabilidad de las herramientas forenses en informtica 222
5.3 Tcnicas antiforenses y sus implicaciones para las investigaciones
actuales y futuras 225
5.3.1 Destruccin de la evidencia 229
5.4 Cibercrimen y ciberterrorismo: amenazas estratgicas y tcticas de las
organizaciones modernas 231
5.4.1 Ciberterrorismo 231
5.4.2 Cibercrimen: viejos hbitos del mundo offine, nuevas armas
en el mundo online 234
5.4.3 Retos tecnolgicos para los investigadores forenses en informtica 236
5.4.4 Archivos cifrados 236
5.4.5 Esteganografa en video 237
5.4.6 Rastros en ambientes virtuales 238
5.4.7 Informacin almacenada electrnicamente en memoria voltil 239
5.4.8 Anlisis de sistemas en vivo 240
PArA ProfuNdIzAr
reCuPerACIN de INformACIN: NtfS VS. fAt 245
1. Sistemas de archivos 246
1.1 NTFS 248
1.1.1 Estructura de NTFS 249
1.1.2 Sector de arranque 251
1.1.3 Tabla Maestra y Metadata 255
1.1.4 Atributos de archivos 257
2. Borrado 264
2.1 Borrar vs. Eliminar 264
2.2 Metodologas para eliminar 264
3. Recuperacin de informacin en FAT 265
3.1 Borrado en FAT 265
3.2 Eliminar en FAT 266
3.3 Evidencias de borrado para recuperacin 268
3.4 Recuperar borrado en FAT 268
4. Recuperacin de informacin en NTFS 269
4.1 Recuperacin automtica de NTFS 269
4.2 Borrado en NTFS 270
4.3 Eliminar en NTFS 270
4.4 Evidencias de borrado para recuperacin 270
4.5 Recuperar borrado en NTFS 270
4.6 Recuperar el sector de arranque 271
5. Demostracin 272
CAPtuLo 6
ANexoS ComPLemeNtArIoS 289
Introduccin 289
A6.1 Buenas prcticas en la administracin de evidencia digital 292
A6.2 Fuentes potenciales de evidencia digital 300
A6.3 Evidencia digital en la prctica 303
A6.4 Caractersticas para seleccionar un informtico forense 304
A6.5 Consejos y sugerencias para los abogados litigantes frente a las
pruebas informticas 307
A6.6 Consejos prcticos para sustentar un reporte tcnico en una audiencia 310
xiii
ALFAOMEGA
COMPUTACIN FORENSE
PArA ProfuNdIzAr
CorreLACIN y vISuALIzACIN de bItCorAS PArA eL ANLISIS foreNSe 313
1. Bitcoras y cmputo forense 315
2. Correlacin de bitcoras 316
2.1 Basados en probabilidades 317
2.2 Basados en escenarios de ataques predefnidos 317
2.2.1 Sec 317
2.3 Basados en prerrequisitos y consecuencias 318
2.4 Basados en mltiples fuentes de informacin 320
3. Visualizacin de eventos 321
3.1 Herramientas de visualizacin 322
3.1.1 RazorBack 323
3.1.2 SnortSnarf y ACID 323
3.1.3 SnortView 324
3.1.4 Spinning cube of potential doom 325
3.1.5 Starmine 325
3.1.6 Visual 325
xiv