Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Preparación Segundo Parcial - JUAN CAMILO GARCIA CACERES PDF

    Cargado por

    JUAN CAMILO GARCIA CACERES
    44 vistas5 páginas

    Título original

    Preparación Segundo Parcial - JUAN CAMILO GARCIA CACERES.pdf

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    44 vistas5 páginas

    Preparación Segundo Parcial - JUAN CAMILO GARCIA CACERES PDF

    Cargado por

    JUAN CAMILO GARCIA CACERES

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 5

    UNIVERSIDAD AUTONOMA DE OCCIDENTE

    NOTA
    FACULTAD DE INGENIERIA
    INFORMÁTICA FORENSE
    DEPARTAMENTO DE OPERACIONES Y SISTEMAS

    Profesor: Ing. Miguel J. Navas J. Preparación Parcial No. 2 FECHA: 21/04/2020

    Nombre: JUAN CAMILO GARCIA CACERES Código: 2141817 Grupo: 51

    RESPONDA LAS SIGUIENTES PREGUNTAS

    La solución a estas preguntas debe entregarlas con fecha límite el mismo día del
    segundo parcial
    Este cuestionario tiene un peso del 20 % del segundo parcial

    1. ¿Qué es Informática Forense (IF)? ¿Cuáles son los principales usos de la IF?

    La informática forense aparece como una disciplina auxiliar de la justicia moderna, para enfrentar
    los desafíos y técnicas de los intrusos informáticos, lo mismo que como garante de la verdad
    alrededor de la evidencia digital que se pudiese aportar en un proceso.

    Dentro de sus principales usos destacan:

    Mantenimiento de la ley: La informática forense puede ser usada en la búsqueda inicial de


    órdenes judiciales, así como en la búsqueda de información una vez se tiene la orden judicial
    para hacer la búsqueda exhaustiva.

    Litigación Civil: Casos que tratan con fraude, discriminación, acoso, divorcio, pueden ser
    ayudados por la informática forense.

    Prosecución Criminal: Evidencia incriminatoria puede ser usada para procesar una variedad de
    crímenes, incluyendo homicidios, fraude financiero, tráfico y venta de drogas, evasión de
    impuestos o pornografía infantil.

    Investigación de Seguros: La evidencia encontrada en computadores, puede ayudar a las


    compañías de seguros a disminuir los costos de los reclamos por accidentes y compensaciones.

    Temas corporativos: Puede ser recolectada información en casos que tratan sobre acoso sexual,
    robo, mal uso o apropiación de información confidencial o propietaria, o aún de espionaje
    industrial.

    2. ¿Qué es la evidencia digital? Enumere los procedimientos propios relacionados con la


    evidencia en la escena del crimen.

    “Es un tipo de evidencia física, que está construida de campos magnéticos y pulsos electrónicos
    que pueden ser recolectados y analizados con herramientas y técnicas especiales” (Casey 2000,
    pág.4)

    “Información de valor probatorio almacenada o transmitida en forma digital” IOCE (International


    Organization Of Computer Evidence) 1.999.
    Se puede decir que el término “Evidencia Digital” abarca cualquier información en formato digital
    que pueda establecer una relación entre un delito y su autor.

    Desde el punto de vista del derecho probatorio, puede ser comparable con “un documento” como
    prueba legal.

    Los procedimientos propios relacionados con la evidencia digital en la escena del crimen
    son:

    1. Proceder a asegurar la evidencia digital de acuerdo con las pautas judiciales de la


    jurisprudencia.
    2. Documentar el hardware y configuración del software del sistema examinado.
    3. Desarmar de manera técnica el computador a ser examinado para permitir el acceso
    físico a los dispositivos de almacenamiento.
    4. Identificar y documentar los dispositivos del almacenamiento que necesitan ser
    adquiridos. Estos dispositivos pueden ser internos, externos, o ambos.
    5. Detallar las características de los dispositivos de almacenamiento a ser analizados.
    6. Desconectar los dispositivos de almacenamiento de los cables de poder y bus de datos
    para prevenir la destrucción, daño, o alteración de los datos.

    3. ¿Cuáles son los objetivos principales de la IF?

    Los objetivos principales de la informática forense son:

    • La persecución y procesamiento judicial de los criminales.


    • La compensación de los daños causados por los criminales o intrusos.
    • La creación y aplicación de medidas para prevenir casos similares.

    4. ¿Qué metodologías utiliza la Informática Forense?

    Las metodologías que utiliza la informática forense son: Identificación, Preservación, Extracción,
    Análisis, Interpretación, Documentación, y Presentación de pruebas.

    5. ¿Qué es y para qué sirve el hash?

    El hash es un algoritmo matemático que transforma cualquier bloque arbitrario de datos en una
    nueva serie de caracteres con una longitud fija. Independientemente de la longitud de los datos
    de entrada, el valor hash de salida tendrá siempre la misma longitud. Por otra parte, no existen
    dos entradas que produzcan el mismo hash de salida.

    Las funciones criptográficas hash se utilizan principalmente para asegurar la integridad de los
    mensajes, en pocas palabras, para estar seguros de que algunas comunicaciones o archivos no
    fueron alterados de alguna forma, se pueden examinar los hashes creados antes y después de
    la transmisión de los datos, si los dos hashes son idénticos, significa que no ha habido ninguna
    alteración.
    6. ¿Qué es la Cadena de Custodia (CdC)? ¿Cuáles son los factores a considerar en la CdC?

    Es uno de los protocolos de actuación que ha de seguirse con respecto a una prueba durante su
    período de vida o de validez, desde que ésta se consigue o genera, hasta que se destruye, o deja de
    ser necesaria.

    Este protocolo debe controlar dónde y cómo se ha obtenido la prueba, qué se ha hecho con ella -y
    cuándo-, quién ha tenido acceso a la misma, dónde se encuentra ésta en todo momento y quién la
    tiene y, en caso de su destrucción –por la causa que sea-, cómo se ha destruido, cuándo, quién,
    dónde y porqué se ha destruido.

    También podemos decir que es un sistema documentado que se aplica a los elementos materiales
    probatorios y evidencia física (EMP y EF) para garantizar y demostrar las condiciones de identidad,
    integridad, preservación, seguridad, almacenamiento, continuidad y registro; Asegurando de esta
    manera la autenticidad de la evidencia que se utilizará como prueba en un proceso.

    7. En la CdC un factor a garantizar es el registro. Cuál es la diferencia entre Traslado y


    Traspaso.

    La diferencia entre traslados y traspaso cuando hablamos de cadena de custodia es que cuando
    decimos que la evidencia es trasladada se refiere a un cambio de lugar o sitio que se le hace a la
    Evidencia, es decir, es llevada a otro espacio físico, y en el traspaso hablamos de cambio de
    encargado o responsable de custodiar la evidencia y mantenerla según dicta el procedimiento.

    8. ¿Qué es el RFC 3227 y cuál es su finalidad?

    RFC 3237 son directrices para la recolección de evidencias y su almacenamiento. Es un documento


    que provee una guía de alto nivel para recolectar y archivar datos relacionados con intrusiones
    mostrando las mejores prácticas para determinar la volatilidad de los datos, decidir qué recolectar,
    desarrollar la recolección y determinar cómo almacenar y documentar los datos. También explica
    algunos conceptos relacionados a la parte legal.
    Dentro de su finalidad esta que puede llegar a servir como estándar de facto para la recopilación de
    información en incidentes de seguridad.

    9. ¿Cuál es el ciclo de vida para la administración de la evidencia digital?

    Ciclo de vida para la administración de la evidencia digital:

    • Diseño de la evidencia.
    • Producción de la evidencia.
    • Recolección de evidencia.
    • Análisis de la evidencia.
    • Reporte y presentación.
    • Determinar la relevancia de la evidencia.

    10. ¿Qué es el Principio de Locard y qué utilidad tiene?

    El principio de LOCARD, que obtiene su nombre del autor y criminalista francés Edmond Locard
    (1877-1966) plantea lo siguiente: “siempre que dos objetos entran en contacto transfieren parte del
    material que incorporan al otro objeto”, esto significa que cualquier tipo de delito, incluidos los
    relacionados con la informática, dejan un rastro por lo que mediante el proceso de análisis forense
    se pueden obtener evidencias. Se puede crear una clasificación de tipos de análisis forense en
    base a qué estén orientados a analizar. Teniendo en cuenta este aspecto se pueden identificar tres
    tipos de análisis: Análisis forense de sistemas: Tanto sistemas operativos Windows, como OSX,
    GNU/Linux, etc., Análisis forense de redes, Análisis forense de sistemas embebidos, Análisis
    forense de memoria volátil.

    11. ¿Qué son los bloqueadores de escritura y cuál es su uso?

    Los bloqueadores de escritura son dispositivos físicos que impiden la escritura al disco analizado
    como prueba constituyendo el mejor método de creación de imágenes.

    12. En FTK, existen varias opciones para la creación de un disco de imagen (Create Disk
    Image). ¿Cuáles son esas opciones?

    Para la creación de un disco de imagines esas opciones son:

    Physical Drive: Permite extraer imágenes de todos los discos (dispositivos) que están
    conectados físicamente (o directamente conectados al equipo, discos internos, externos,
    USB…).

    Logical Drive: Permite ver y así mismo poder seleccionar la partición del disco duro que
    queramos trabajar.

    Image File: Permite extraer la imagen forense de un solo archivo que se encuentre en el
    dispositivo evidencia. Para esto puede indicar la ruta donde se encuentra el archivo, o escoger
    el archivo buscándolo por el explorador, basta con dar Click en la opción Browse… y seleccionar
    el archivo requerido.

    Contents of a Folder: Esta opción permitirá extraer todo el contenido de una carpeta. Sin
    embargo, advierte que no recuperará los archivos que encuentre dañados o eliminados dentro
    de la carpeta.

    Fernico Device: Esta opción permitirá extraer todo el contenido de unidades de


    almacenamiento óptico CD/DVD.

    13. ¿Qué es el comando dd y cómo se usa?

    El comando dd es un comando de la familia de los sistemas operativos Unix que permite copiar y
    convertir datos de archivos a bajo nivel.

    La sintaxis más básica para el uso del comando dd, seria esta:

    sudo dd if=origen of=destino

    14. ¿Qué diferencias encuentra entre FTK IMAGEER y ENCASE IMAGER?

    Que Encase Forensic produce una duplicación binaria exacta del dispositivo o medio original y luego
    la verifica generando valores hash MD5 de las imágenes y asignando valores de CRC a los datos.
    Estas verificaciones revelan cuándo la evidencia ha sido alterada o manipulada indebidamente,
    ayudando a mantener toda la evidencia digital con validez a efectos legales para su uso en
    procedimientos judiciales y el FTK facilita examinar la imagen obtenida y así poder contar en el
    momento mismo con alguna información relevante como: un password, nombre o dato que haya
    quedado almacenado en la RAM, procesos abiertos (cuentas de correo y passwords) y versión del
    sistema operativo.

    15. En la visualización del contenido de un volcado de RAM, ¿Por qué en la cabecera inicial
    solo reconocen ceros (00 00 00…)? ¿Qué herramientas conoce para la extracción de RAM?

    Los archivos contienen una cabecera o firma que es un numero hexadecimal que caracteriza a los
    tipos de archivos, de esta forma se pueden utilizar estas firmas para identificar o verificar el contenido
    de un archivo.

    Profesor Preparación Segundo Parcial


    Ing. Miguel José Navas Jaime Informática forense

    También podría gustarte