13653nam a22001937a 4500 OSt 20240508142348.0 230418b |||||||| |||| 00| 0 eng d 978-958-792-408-4 B-ISTTENA ESP ANALISIS FORENSE INFORMATICO Contenidos adaptados al curso de especializacion de ciberseguridad en entornos de las tecnologias de la informacion Mario Guerra Soto 1ra Ed. Bogota Ediciones de la U 2022 462 P. 24 x 17 cm. INDICE -ACERCA DEL AUTOR -CAPÍTULO 1. INTRODUCCIÓN A FORENSE DIGITAL. -CONCEPTOS BÁSICOS 1.1.1 Definición de forense digital 1.1.2 Investigaciones corporativas e investigaciones criminales 1.1.3 Diferencias entre E-Discovery y forense digital 1.1.4 Definición de evidencia digital 1.1.5 Principios internacionales de evidencia digital 1.1.6 Registros generados y registros almacenados por un ordenador... 1.1.7 Cadena de custodia. 1.1.8 Recopilación de evidencias digitales. 1.1.9 El método científico 1.1.10 Mejor evidencia 1.1.11 Antiforense digital. 1.2 GESTIÓN DE UN CASO FORENSE DIGITAL 1.2.1 Introducción 1.2.2 Recepción de la petición 1.2.3 Registro de un caso 1.2.4 Fotografiar la prueba documental. 1.2.5 Registro de la prueba documental 1.2.6 Análisis de la prueba documental. 1.2.7 Devolución de la prueba documental 1.2.8 Cierre del caso 1.3 PROCEDIMIENTO DE INVESTIGACIÓN 1.3.1 Importancia del procedimiento investigador. 1.3.2 Pasos previos a la preparación de la investigación. 1.3.3 Preparación de la investigación. 1.3.4 Recopilación de evidencias digitales 1.3.5 Preservación de las evidencias 1.3.6 Análisis de las evidencins 1.3.7 Presentación de informes de la investigación.. 1.3.8 Presentación de informes de la investigación ante un tribunal 1.3.9 Cierre del caso. 1.4 RAMAS DE LAS INVESTIGACIONES FORENSES DIGITALES. 1.4.1 Introducción 1.4.2 Forense de ordenadores. 1.4.3 Forense de dispositivos móviles. 1.4.4 Forense de red. 1.4.5 Análisis de malware 1.5 EL LABORATORIO FORENSE DIGITAL 1.5.1 Generalidades.. 1.5.2 Emplazamiento del laboratorio 1.5.3 Seguridad fisica del laboratorio... 1.5.4 Tamaño y disposición del laboratorio 1.5.5 Normativa aplicable a un laboratorio forense digital 1.5.6 Departamentos dentro del laboratorio forense digital 1.6 EVIDENCIAS DIGITALES 1.6.1 Introducción 1.6.2 Objeto y campo de aplicación 1.6.3 Términos y definiciones 1.6.4 Preservación de la evidencia 1.7 ADQUISICIÓN DE EVIDENCIAS DIGITALES 1.7.1 Inteligencia digital y recolección de evidencias de un escenario. 1.7.2 Retos de la recogida de evidencias digitales 1.7.3 Triaje de evidencias en un escenario 1.7.4 Proceso de adquisición de evidencias digitales. 1.7.5 Dispositivos apagados. 1.7.6 Dispositivos encendidos. 1.7.7 Obtención de evidencias de activos empresariales. 1.7.8 Sistemas virtualizados.. 1.7.9 Extracción de evidencias mediante manipulación hardware. -CAPÍTULO 2. SOPORTES DE ALMACENAMIENTO Y SISTEMAS DE FICHEROS. 2.1 INTRODUCCIÓN 2.2 DISCOS DUROS 2.2.1 Interfaz de conexión 2.2.2 Estructura fisica 2.2.3 Estructura lógica. 2.2.4 Volúmenes de disco. 2.3 ALMACENAMIENTO FLASH 2.3.1 Tipos de dispositivos 2.3.2 Peculiaridades de los dispositivos de almacenamiento SSD. 2.4 ALMACENAMIENTO EN SOPORTE OPTICO 2.5 ALMACENAMIENTO EN RED 2.6 ALMACENAMIENTO RAID. 2.6.1 Generalidades. 2.6.2 RAID 0 2.6.3 RAID 1 2.6.4 RAID IE.. 2.6.5 RAID 2 2.6.6 RAID 3 2.6.7 RAID 4 2.6.8 RAID S 2.6.9 RAID 6. 2.6.10 RAID 01 2.6.11 RAID 10 2.6.12 RAID 30 2.6.13 RAID 100 2.6.14 RAID 50 2.6.15 Comparativa entre diferentes niveles de RAID. 2.6.16 Otras configuraciones posibles. 2.7 ARQUITECTURAS DE ALMACENAMIENTO NON-RAID 2.8 OBTENCIÓN DE EVIDENCIAS DE UN NAS 2.9 SISTEMAS DE FICHEROS. 2.9.1 Introducción 2.9.2 Sistemas de ficheros en Microsoft Windows. 2.9.3 Sistemas de ficheros en macOS 2.9.4 Sistemas de ficheros en Linux 2.10 PROCESO DE INICIO DE UN ORDENADOR. 2.10.1 Arranque de un sistema operativo Microsoft Windows 2.10.2 Arranque de un sistema operativo Linux 2.10.3 Arranque de un sistema operativo macOS. -CAPÍTULO 3. VIRTUALIZACIÓN Y SANDBOXING. 3.1 VIRTUALIZACIÓN. 3.1.1 Generalidades. 3.1.2 Tipos de VM. 3.1.3 Tipos de hipervisor. 3.1.4 Contenedores. 3.1.5 FUSE 3.1.6 Discos y unidades virtuales. 3.2 FORENSE DE VM 3.2.1 Forense de hipervisores Tipo 2.. 3.2.2 Forense de hipervisores Tipo 1.. 3.3 SANDBOXING -CAPÍTULO 4. INTRODUCCIÓN A FORENSE DE MICROSOFT WINDOWS...... 4.1 INTRODUCCIÓN 4.1.2 Programa, proceso e hilo de control. 4.1.3 Volatilidad de los artefactos forenses 4.1.4 Empleo de la consola del sistema y de PowerShell como herramientas de recopilación de artefactos forenses. 4..1.5 Empleo de herramientas de terceros para la recopilación y análisis de artefactos forenses 4.2 ADQUISICIÓN DE SOPORTES DE ALMACENAMIENTO MASIVO 4.2.1 Obtención de imágenes de volúmenes de disco con AccessData FTK 4.2.2 Obtención de imágenes de volúmenes de disco desde una distribuciór Live..... 4.3 ADQUISICIÓN DE EVIDENCIAS VOLATILES EN ENTORNOS WINDO 4.3.1 Variables de entorno del sistema 4.3.2 Fecha y hora del sistema 4.3.3 Información relativa al sistema 4.3.4 Histórico de comandos de la consola del sistema Usuarios registrados en el sistema local. 4.3.5 Información del dominio 4.3.7 Archivos abiertos. 4.3.8 Programas, procesos y servicios. 4.3.9 Conexiones de red 4.3.10 Tabla de enrutamiento interna 4.4 ANÁLISIS POST MORTEM DE EVIDENCIAS DIGITALES 4.4.1 Análisis "en muerto" y "en vivo". 4.4.2 Análisis de evidencias con OpenText EnCase Forensic.. 4.4.3 Análisis de evidencias con AccessData FTK 4.4.4 Nuix Workstation..... 4.4.5 Otras suites de análisis forense digital -CAPÍTULO 5. FORENSE DE LA MEMORIA RAM EN SISTEMAS WINDOWS. 5.1 INTRODUCCIÓN 5.1.1 Generalidades 5.1.2 Forense de memoria 5.1.3 Artefactos forenses presentes en la memoria RAM. 5.1.4 Memoria fisica y memoria virtual 5.1.5 Archivos de volcado de memoria RAM 5.1.6 Archivos de hibernación. 5.2 ADQUISICIÓN DE MEMORIA RAM 5.2.1 Introducción 5.2.2 Volcado del contenido completo de la RAM 5.2.3 Volcado de memoria utilizando pmem. 5.2.4 Archivos de paginación e hibernación 5.2.5 Volcado de la memoria RAM tras un fallo del sistema operativo.. 5.2.6 Adquisición de memoria de máquinas virtuales. 5.2.7 Adquisición de memoria de contenedores. 5.2.8 Recolección de memoria de sistemas remotos. -CAPÍTULO 6. ANÁLISIS DE LÍNEAS TEMPORALES. 6.1 INTRODUCCIÓN 6.1.1 Importancia de la elaboración de una línea temporal 6.1.2 Dificultades en la generación de líneas temporales. 6.1.3 Punto de partida de una investigación... 6.1.4 Proceso de análisis de una línea temporal 6.1.5 Predicción en el análisis de lineas temporales. 6.1.6 Herramientas para la confección de lineas temporales 6.2 ANÁLISIS DE ARTEFACTOS FORENSES EN WINDOWS. 6.2.1 Evidencias de descarga de archivos 6.2.2 Evidencias de ejecución de programas. 6.2.3 Evidencias de archivo eliminado o conocimiento de archivo 6.2.4 Evidencias de actividad de red y de ubicación fisica. 6.2.5 Evidencia de apertura de archivos/carpetas.. 6.2.6 Evidencias de utilización de cuentas de usuario 6.2.7 Evidencias de conexión de dispositivos USB 6.2.8 Evidencias de utilización del navegador 6.3 CREACIÓN Y ANÁLISIS DE LÍNEAS TEMPORALES. 6.3.1 Triaje de la linea temporal del sistema de ficheros. 6.3.2 Creación y análisis de una linea temporal del sistema de ficheros. 6.3.3 Creación y análisis de una linea temporal a partir de un volcado de memoria RAM. 6.3.4 Creación de una Super Timeline 6.3.5 Creación de una Super Timeline dedicada 6.3.6 Triaje rápido de artefactos forenses. 6.3.7 Filtrado de una Super Timeline 6.3.8 Análisis de una Super Timeline. -CAPÍTULO 7. ARCHIVOS DE LOG..... 7.1 INTRODUCCIÓN. 7.1.1 Archivo de log de eventos. 7.1.2 Agregación de logs 7.1.3 Monitorización de archivos de log. 7.1.4 Importancia de los archivos de log de eventos de seguridad 7.2 GESTIÓN DE ARCHIVOS DE LOG 7.2.1 Gestión de archivos de log de seguridad. 7.2.2 Sistema centralizado de archivos de log.... 7.3 ESTIMACIÓN DE GENERACIÓN DE ARCHIVOS DE LOG 7.3.1 Eventos por segundo 7.3.2 Generación normal y picos de EPS. 7.3.3 Volumen de los archivos de log... 7.4 TIPOS DE ARCHIVOS DE LOG 7.5 ARCHIVOS DE LOG GENERADOS EN ENDPOINTS EN CIBERSEGURIDAD. 7.5.1 Archivos de log de Eventos de Windows. 7.5.2 Archivos de log de Linux 7.5.3 Archivos de eventos de dispositivos iOS. 7.5.4 Archivos de eventos de dispositivos Android.. 7.5.5 Archivos de log de interés para incorporar al SIEM. 7.6 GESTIÓN DE ARCHIVOS DE LOG DE EDR 7.7 GESTIÓN DE ARCHIVOS DE LOG DE FIREWALLS 7.8 RECOLECCIÓN DE ARCHIVOS DE LOG CON SYSLOG 7.9 TÉCNICAS DE ANÁLISIS DE ARCHIVOS DE LOG 7.10 PROCESADO DE ARCHIVOS DE LOG 7.10.1 Flujo de procesado de los archivos de log. 7.11 ANÁLISIS DE ARCHIVOS DE LOG EMPLEANDO UN SIEM 7.12 SINCRONIZACIÓN HORARIA ENTRE DISPOSITIVOS. 7.13 LOS ARCHIVOS DE LOG DESDE UN PUNTO DE VISTA LEGAL 7.13.1 Procesado de archivos de log conforme a la legislación estadounidens 7.13.2 Archivos de log conforme a la legislación española -CAPÍTULO 8. FORENSE DE RED. 8.1 DEFINICIÓN DE FORENSE DE RED 8.2 HERRAMIENTAS DE MONITORIZACIÓN DE RED 8.2.1 Capturador de paquetes 8.2.2 Analizador de paquetes 8.2.3 Monitorización del flujo de paquetes 8.2.4 Monitor de interfaz 8.2.5 Monitor de rendimiento. 8.2.6 Registros de eventos del sistema y su gestión. 8.3 ANÁLISIS DE TRÁFICO DE RED. 8.3.1 Cabecera del paquete. 8.3.2 Payload 8.3.3 Trailer 8.4 INVESTIGANDO EL TRÁFICO DE RED 8.4.1 Ventajas de investigar el tráfico de red 8.4.2 Acceso ilicito a la red objetivo. 8.4.3 Atribución a partir de evidencias forenses de red 8.4.4 Forense en redes inalámbricas. 8.5 HERRAMIENTAS FORENSES DE RED 8.5.1 Herramientas más habituales en forense de red 8.5.2 Recopilación y análisis de artefactos forenses empleando la consola del sistema 8.6 FORENSE DE PÁGINAS WEB Y URL 8.6.1 Copia forense de sitios web. 8.6.2 Servicios recortadores de URL... 8.6.3 Resolución estática de servidores C2 8.6.4 Domain Generation Algorithm. 8.6.5 Fast-Flux Service Networks 8.7 CORREO ELECTRÓNICO. 8.7.1 Protocolos y servicios de correo electrónico 8.7.2 Cabecera de un correo electrónico 8.7.3 Cuerpo de un correo electrónico 8.7.4 Importancia de la gestión de registros electrónicos. 8.7.5 Delitos cometidos empleando el correo electrónico. 8.7.6Delitos cometidos en salas de chat. 8.7.7 Procedimiento para investigar delitos cometidos utilizando el correo electrónico y las salas de chat. 8.7.8 Análisis de correos electrónicos. -CAPÍTULO 9. FORENSE DE BASE DE DATOS. 9.1 INTRODUCCIÓN 9.2 BREVES NOCIONES DE BASES DE DATOS Y SOL... 9.3 IMPORTANCIA DEL FORENSE DE BASES DE DATOS -CAPÍTULO 10. FORENSE EN LA NUBE. 10.1 INTRODUCCIÓN A LA COMPUTACIÓN EN LA NUBE 10.2 TIPOS DE SERVICIOS DE COMPUTACIÓN EN LA NUBE. 10.2.1 laaS 10.2.2 PaaS 10.2.3 SaaS 10.2.4 Separación de responsabilidades en la nube. 10.3 MODELOS DE DESPLIEGUE EN LA NUBE 10.3.1 Nube privada 10.3.2 Nube hibrida 10.3.3 Nube comunitaria 10.3.4 Nube pública 10.4 INTRODUCCIÓN AL FORENSE EN LA NUBE. 10.4.1 Definición. 10.4.2 Ámbito de aplicación 10.4.3 Delitos en la nube. 10.4.4 Agentes implicados en una investigación de forense en la nube. 10.4.5 Procedimiento forense en la nube 10.5 RETOS QUE SE PRESENTAN EN LAS INVESTIGACIONES DE FORENS EN LA NUBE 10.5.1 Arquitectura e identificación. 10.5.2 Recolección de datos. 10.5.3 Archivos de log. 10.5.4 Legales 10.5.5 Análisis. 10.5.6 Gestión de roles 10.5.7 Estándares.. 10.5.8 Adiestramiento 10.5.9 Empleo de técnicas antiforenses. 10.5.10 Respuesta a incidentes. 10.6 INVESTIGACIÓN FORENSE DE SERVICIOS DE ALMACENAMIENTO LA NUBE. 10.6.1 Introducción 10.6.2 Dropbox. 10.6.3 Google Drive. -CAPÍTULO 11. FORENSE DE DISPOSITIVOS MÓVILES E IOT. 11.1 INTRODUCCIÓN 11.1.1 Forense de dispositivos móviles. 11.1.2 Forense de teléfonos móviles 11.1.3 Cibercrimen y ciberamenazas en dispositivos móviles. 11.1.4 Actividades delictivas que pueden realizarse desde un dispositivo 11.2 TIPOS DE DISPOSITIVOS MÓVILES 11.2.1 Generalidades 11.2.2 Teléfonos móviles estándar 11.2.3 PDA 11.2.4 Reproductores multimedia 11.2.5 Smartphones. 11.2.6 Tabletas y phablets 11.3 IOT. 11.3.1 Introducción 11.3.2 Forense de dispositivos loT. 11.4 REDES DE ACCESO CELULAR. 11.4.1 Elementos de una red celular. 11.4.2 Redes celulares de datos. 11.4.3 Telefonia 2G 11.4.4 Telefonia 3G 11.4.5 Telefonía 4G 11.4.6 Telefonía 5G 11.5 EL DISPOSITIVO MÓVIL 11.5.1 Hardware, sistema operativo y aplicaciones de un dispositivo móvil. 11.5.2 ME 11.5.3 UICC 11.5.4 Medidas de seguridad en la UICC. 11.5.5 Codificación de la UICC 11.5.6 Autenticación Ki 11.5.7 Estructura de ficheros de la UICC. 11.6 INTERVENCIÓN DE UN DISPOSITIVO MÓVIL 11.6.1 Aislamiento de redes 11.6.2 Anulación de códigos de protección 11.6.3 Cables de alimentación y datos 11.6.4 Dispositivos desconectados. 11.7 ARTEFACTOS FORENSES DE INTERÉS EN UN TELÉFONO MÓVIL.. 11.7.1 Información proporcionada por la UICC 11.7.2 Información almacenada en el smartphone 11.7.3 Información almacenada por el operador de telefonía Base de datos B-ISTTENA BOOK 18/04/2023 Erika Calapucha 13/04/2023 1005 1005 BISTT 2023-04-13 DONACIÓN ISTT-DS-0218 ISTT-DS-0218 Eje. 1/2 27.00 BOOK BISTT 2023-04-26 DONACIÓN ISTT-DS-0256 ISTT-DS-0256 Eje. 2/2 27.00 BOOK