Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Universidad Internacional de La
Rioja
Índice
Índice
1.Acotando la escena del crimen
2.Funciones hash
3.Fase de preparación
4.Conceptos previos
5.Recolección y adquisición de evidencias digitales
6.Procedimientos especiales de adquisición
7.Cadena de custodia
• En contextos corporativos
Ejemplo
En un delito de estafa bancaria, el juez nos pide que obtengamos la
fecha y hora en la que fueron creados una serie de archivos
ofimáticos.
Personados en la sede del banco nos encontramos con esto:
Ejemplo (continuación)
Se trata de una granja de servidores que se utilizan para virtualizar
diversos aspectos críticos del banco.
¿Qué hacemos?
Ejemplo (continuación)
Ejemplo (continuación)
Llegados a este punto, suponiendo que tenemos localizada la máquina virtual
que buscamos, tenemos dos opciones:
1. Nos llevamos el disco duro completo de la MV
• Tardaríamos mucho tiempo (suelen ocupar muchos Tb)
• Necesitaríamos mucho espacio
• Podríamos hacerlo en frío o en caliente en función de cómo
funcione el sistema gestor de las MV (snapshot de la MV)
2. Realizamos la adquisición en caliente únicamente de los datos que
nos interesan (ej. los archivos que nos solicitan)
• Tardaríamos menos tiempo y requeriría menos espacio
• Nos llevamos menos información, menos que analizar, pero
puede que nos dejemos algo relevante sin adquirir (¿y si se ha
cambiado la hora del sistema?)
Una función de hash es una función matemática que se puede utilizar para mapear
datos digitales de tamaño arbitrario a los datos digitales de tamaño fijo. Esto es, son
capaces de obtener la “huella digital” de todos los datos contenidos en una evidencia
de manera que si dichos datos son modificados la “huella” también se modifica también.
MD5 SHA1
016bd140eb0dd2e9e0eca3
UNIR f715ca0eb5123f36b66ca3fc7f94fc71
e6af1b00cd8408c852
fb88033fd6af0c6e06ab9c7
UnIR 1b881a2f48c823009450bda327f32a88
b492c8932b52c22e4
En la práctica, que exista colisión significa admitir que dos archivos tienen la “misma
firma”
A día de hoy, los algoritmos MD5 y SHA1 están, en la práctica, rotos de manera
individual. Aunque eso no significa que sea fácil generar una colisión (al menos, del
algoritmo SHA1).
Borrado seguro
•Sobrescritura de la información original de forma que esta no
pueda ser recuperada.
•Con unos, ceros o caracteres aleatorios o combinando en varias
pasadas
•Sobretodo un dispositivo (con software específico), sobre una
partición concreta (con un simple formateo lento) o sobre el espacio
libre.
•Ver píldora
Clonado
Imagen
Elementos Evidencias
Recopilación
físicos Pueden contener
Tipos de recolección
La mencionada norma ISO/IEC 27037 diferencia entre dos tipos
distintos de recolección:
1. Recolección de dispositivos encendidos
2. Recolección de dispositivos apagados
Tipos de adquisición
La mencionada norma ISO/IEC 27037 diferencia entre dos tipos
distintos de adquisición:
1. Adquisición de dispositivos encendidos
2. Adquisición de dispositivos apagados
Recolección y adquisición
Recolección de Recolección de
dispositivos dispositivos
encendidos apagados
Adquisición de Adquisición de
dispositivos dispositivos
encendidos apagados
Supuestos especiales
•Dispositivos críticos
•Adquisiciones parciales
•Dispositivos de almacenamiento.
Cadena de custodia
•Dos herramientas:
• Documentación
• Hash
• En frío
H a s h a la H a sh a la e v id e n c ia
e v id e n c ia o rig in a l A d q u is ic ió n o rig in a l (H A 2 ) y a
(H A 1) la c o p ia (H B )
• En caliente
Cadena de custodia
Garantizamos
Documentación Hash
Autenticidad (en caliente)* (en frío)
Integridad
Accesibilidad
Trazabilidad
Conservación