Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 02 - Tema 02

    Cargado por

    Daya Ochoa
    0 vistas22 páginas

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    0 vistas22 páginas

    02 - Tema 02

    Cargado por

    Daya Ochoa

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 22

    Respuesta a Incidentes y Análisis Forense

    Juan José Delgado

    La evidencia digital

    Universidad Internacional de La Rioja


    Índice

    Índice
    1. La presunción de inocencia
    2. Razonamiento de la prueba
    3. La prueba científica
    4. Evidencia digital
    5. Volatilidad
    6. Adquisición de evidencias digitales

    La evidencia digital – Juan José Delgado


    La presunción de inocencia

    La presunción de inocencia

    • Es un DERECHO FUNDAMENTAL (art 24.2 Const. Española, 11.1


    Decl. Univ. Dchos. Humanos)
    • No se puede acusar a nadie sin fundamento. Este fundamento es la
    prueba. Es lo que se llama “la carga de la prueba”

    La evidencia digital – Juan José Delgado


    La prueba

    Razonamiento de la prueba

    Para que exista el valor probatorio, la prueba tiene que ser:


    • Razonada: esto es, deben de existir motivos suficientes para
    admitirla en dos perspectivas:
     En cuanto a su contenido: la prueba debe demostrar un
    hecho determinado. Si dicha demostración es técnicamente
    compleja se acudirá a peritos
     En cuanto a su naturaleza: la prueba debe haberse
    obtenido por medios legales y no debe de existir ninguna
    duda sobre la naturaleza de la misma.
    • Valorada: es el juez quien determinará finalmente si el hecho
    ha sido demostrado con dicha prueba

    La evidencia digital – Juan José Delgado


    La prueba

    La prueba científica

    La prueba es estudiada de una manera científica desde principios del


    s. XIX

    “Nadie puede cometer un crimen con la


    intensidad que esa acción requiere sin
    dejar los numerosos signos de su
    presencia, el delincuente ha dejado
    marcas de su actividad en la escena del
    crimen y, por otra, se llevará los indicios de
    dónde ha estado o lo que ha hecho.”

    La evidencia digital – Juan José Delgado


    La evidencia digital

    La evidencia digital

    Evidencia digital: Todo elemento de


    información en formato electrónico, que
    permita constatar un hecho investigado o
    el esclarecimiento del mismo.

    Algunos ejemplos de evidencias digitales serían:

    Documento electrónico de texto Archivo de imagen o vídeo

    Archivos temporales de navegación Cookiesdel explorador

    Registros de eventos del sistema operativo Ficheros de logs

    Registros del tráfico de red del equipo Etc.

    La evidencia digital – Juan José Delgado


    La evidencia digital

    Contenedor de evidencias digitales

    Todo elemento que pueda almacenar


    información en formato electrónico, de
    forma física o lógica y que permita
    constatar un hecho investigado o el
    esclarecimiento del mismo

    Almacenar Constatar
    información hecho

    La evidencia digital – Juan José Delgado


    La evidencia digital

    Trabajando con evidencias digitales

    La evidencia digital tiene una propiedad muy interesante frente a otro


    tipo de evidencias: no es necesario destruir la evidencia digital
    para analizarla.
    La información digital tiene la propiedad de poder realizar copias
    totalmente exactas al original. De este modo, para trabajar con
    evidencias digitales no vamos a utilizar los originales, sino que
    haremos copias y trabajaremos con éstas.
    A este procedimiento se le denomina adquisición de evidencias
    digitales.

    La evidencia digital – Juan José Delgado


    La evidencia digital

    Clasificación de las evidencias

    Vamos ahora a pensar en la adquisión de las evidencias.


    ¿Por dónde comenzar? Para contestar a esa pregunta vamos a
    clasificar las evidencias y lo haremos por su volatilidad.
    La volatilidad de las evidencias determina la facilidad con la que
    estas se modifican a lo largo del tiempo.
    Aunque todas las evidencias pueden alterarse si no las tratamos con
    precaución, podemos agrupar las evidencias en dos grandes grupos:
    • Volátiles
    • No volátiles.

    La evidencia digital – Juan José Delgado


    La evidencia digital

    La ISO/IEC 27037

    Directrices para la identificación, recopilación, adquisición y


    preservación de evidencia digital
    Marca el estándar a seguir para realizar adquisiciones de evidencias
    digitales
    Es el procedimiento que vamos a seguir
    Lo podéis descargar de la biblioteca
    En su primera parte define lo que es una evidencia digital y sus
    características

    La evidencia digital – Juan José Delgado


    La evidencia digital

    Características de una evidencia digital

    Según la ISO 27037 una evidencia digital tiene que tener las siguientes
    características, que podemos equiparar a las vistas en la unidad
    anterior:
    • Relevancia: ha de ser importante en el hecho a probar (admisible)
    • Confianza: no debe haber ninguna duda subre su autenticidad
    (confiable y auténtica)
    • Suficiencia: debe contener toda la información necesaria para
    constatar el hecho investigado (creíble y completa)

    La evidencia digital – Juan José Delgado


    La evidencia digital

    Clasificación de las evidencias

    Volátiles No volátiles

    • Cambian con facilidad • No cambian con tanta facilidad


    • Desaparecen al apagar el • Se mantienen al apagar el
    equipo equipo
    • Sólo las podemos recoger si el • Las podemos recoger con el
    equipo está encendido equipo encendido o apagado
    • Ej. Memoria RAM • Ej. Discos duros, pendrives,
    CDs, etc.

    ¿Cuál deberemos recoger antes?

    La evidencia digital – Juan José Delgado


    La evidencia digital

    La volatilidad de las evidencias determina también el orden en que


    estas deben se adquiridas.
    Las evidencias volátiles son las que primero debemos adquirir, puesto
    que nuestras acciones pueden modificarlas y desaparecen al apagar
    el equipo.
    Las evidencias no volátiles son más difícilmente alterables. Aun así,
    nuestras acciones pueden alterar su contenido si no actuamos con
    precaución.

    La evidencia digital – Juan José Delgado


    La evidencia digital

    Volatilidad de las evidencias digitales

    El orden de volatilidad de las evidencias para un sistema


    típico se encuentra definido en el RFC 3227 Guidelines
    for Evidence Collection and Archiving*.
    El orden de volatilidad de las evidencias determina el
    orden en que estas deben ser adquiridas ya que la
    adquisición de evidencias digitales debe realizarse de
    mayor a menor volatilidad.

    * Aunque el RFC es de 2002, el orden de volatilidad definido todavía es globalmente aceptado.

    El RFC lo podéis descargar de la web de Internet Engineering Task Force (IETF):


    https://tools.ietf.org/html/rfc3227

    La evidencia digital – Juan José Delgado


    La evidencia digital

    Registros y caché del procesador No lo podemos adquirir

    Memoria RAM, procesos en ejecución,


    archivos abiertos, etc.
    Volátiles
    Archivos temporales

    Disco duro

    Datos almacenados en remoto


    No volátiles
    Configuración física de y red del equipo

    Dispositivos de almacenamiento
    removibles

    La evidencia digital – Juan José Delgado


    La evidencia digital

    Volatilidad de las evidencias digitales

    1. Memoria RAM y otras evidencias volátiles


    como procesos en ejecución
    2. Archivos temporales
    3. Disco duro del equipo
    4. Si hay datos en remoto, datos en remoto (Ej.
    Discos duros en red)
    5. Configuración física de y red del equipo
    6. Recoger el resto de las evidencias que se
    encuentren en la escena como pendrives, CDs,
    etc.

    La evidencia digital – Juan José Delgado


    La evidencia digital

    La evidencia digital – Juan José Delgado


    Adquisición de evidencias digitales

    Mini actividad

    Revisad vuestro entorno (escritorio, despacho,


    etc.) y enumerar todos aquellos contenedores de
    evidencias digitales que encontréis y ponedlos en
    común con el resto de la clase.
    Una vez enumerados, determinar el orden de
    adquisición de las evidencias digitales que pueden
    contener cada uno de ellos.

    La evidencia digital – Juan José Delgado


    Adquisición de evidencias digitales

    Procedimiento de adquisición

    Adquirir
    evidencias
    Acotar la Fotografiar Adquirir Iniciar
    no volátiles
    escena del pantallas, evidencias cadena de
    (o recolectar
    crimen escena,etc. volátiles custodia
    y adquirir en
    laboratorio)

    La evidencia digital – Juan José Delgado


    Adquisición de evidencias digitales

    Precauciones a tener en cuenta

    No alterar Limitar No dejarnos Tener en


    la evidencia nuestra nada cuenta el
    original (o adquisición tiempo del
    hacerlo lo solamente que
    menos al hecho a disponemos
    posible) investigar

    La evidencia digital – Juan José Delgado


    ¿Qué es el Forense Digital?

    Encontrando evidencias

    ¿Que tenemos que adquirir?


    • La experiencia es un grado
    • Al principio tendencia a adquirir más para “no
    dejarnos nada”
    • Solo sabremos adquirir correctamente si
    sabemos qué buscar
    • No todo lo adquirido deberá ser analizado
    posteriormente (triaje).

    La evidencia digital – Juan José Delgado


    www.unir.net

    También podría gustarte