Reseña del libro "Introducción a la Informática Forense"
Actualmente las tecnologías de la información constituyen un elemento indispensable para el funcionamiento de organizaciones y empresas de todo tipo.La ubicuidad de medios informáticos, combinada con el crecimiento imparable de Internet y las redes durante los últimos años, abre un escenario de oportunidades para actos ilícitos (fraude, espionaje empresarial, sabotaje, robo de datos, intrusiones no autorizadas en redes y sistemas y un largo etcétera) a los que es preciso hacer frente entendiendo las mismas tecnologías de las que se sirven los delincuentes informáticos, con el objeto de salirles al encuentro en el mismo campo de batalla.Parte vital en el combate contra el crimen es una investigación de medios digitales basada en métodos profesionales y buenas prácticas al efecto de que los elementos de videncia obtenidos mediante la misma puedan ser puestos a disposición de los tribunales.Se debe hacer con las suficientes garantías en lo tocante al mantenimiento de la cadena de custodia y al cumplimiento de aspectos esenciales para el orden legal del estado de derecho, como el respeto a las leyes sobre privacidad y protección de datos y otras normativas de relevancia similar.La Informática Forense es la disciplina que se encarga de la adquisición, el análisis y la valoración de elementos de evidencia digital hallados en ordenadores, soportes de datos e infraestructuras de red, y que pudieran aportar luz en el esclarecimiento de actividades ilegales perpetradas en relación con instalaciones de proceso de datos,independientemente de que dichas instalaciones sean el objetivo de la actividad criminal o medios utilizados para cometerla. El propósito de esta obra consiste en introducir al lector, de manera resumida y clara, en los principios, métodos, las técnicas fundamentales y las implicaciones jurídicas de la investigación informática forense.A tal efecto se dará a conocer, con sencillez y mediante un número de ejemplos, cómo sacar partido a las soluciones, tanto propietarias como de código libre, utilizadas en la actualidad por los profesionales de la investigación forense.He aquí, entre otros, algunos de los temas tratados:- Principios y metodología de la investigación de soportes de datos.- Investigación forense de sistemas Microsoft Windows.- Investigación forense de sistemas Linux/Unix.- Investigación forense de dispositivos móviles.- Investigación en redes informáticas e Internet.- Investigación de imágenes digitales.- Herramientas de software y distribuciones Linux para la investigación forense. INTRODUCCIÓNCAPÍTULO 1. SE HA ESCRITO UN CRIMEN DIGITAL1.1 UN DÍA COMO OTRO CUALQUIERA1.2 INTERVENCIÓN1.2.1 Los primeros en llegar1.2.2 Apagado sin más1.2.3 Objetos intervenidos1.3 LA AMENAZA DIGITAL1.3.1 El delito informático1.3.2 Evaluación del riesgo1.3.3 Los motivos del agresor1.3.4 Amenazas internas y externas1.4 DINÁMICA DE UNA INTRUSIÓN1.4.1 Footprinting1.4.2 Escaneo de puertos y protocolos1.4.3 Enumeración1.4.4 Penetración y despliegue de exploits1.4.5 Puertas traseras1.4.6 Borrando huellasCAPÍTULO 2. LA INVESTIGACIÓN FORENSE2.1 ETAPAS DE UNA INVESTIGACIÓN FORENSE2.1.1 Adquisición (Imaging)2.1.2 Análisis2.1.3 Presentación2.1.4 La línea de tiempo2.2 REQUISITOS DE LA INVESTIGACIÓN FORENSE2.2.1 Aceptabilidad2.2.2 Integridad2.2.3 Credibilidad2.2.4 Relación causa-efecto2.2.5 Carácter repetible2.2.6 Documentación2.3 VALORACIÓN JURÍDICA DE LA PRUEBA DIGITAL2.3.1 Interés legal de la prueba2.3.2 Prueba física y prueba personal2.3.3 Cualificación del investigador forense2.3.4 La adquisición: fase crucialCAPÍTULO 3. SOPORTES DE DATOS3.1 PROCEDIMIENTOS DE ADQUISICIÓN3.1.1 EnCase & Linen3.1.2 dd3.1.3 dcfldd, dc3dd y ddrescue3.1.4 AIR3.1.5 Adquisición por hardware3.1.6 MD5 y SHA3.1.7 Cálculo de MD5 con Linux3.2 DISCOS, PARTICIONES Y SISTEMAS DE ARCHIVOS3.2.1 NTFS3.2.2 FAT3.2.3 ext2, ext3, ext43.2.4 HFS, HFS+, JFS, ReiserFS, etc3.3 MODELO DE CAPAS3.3.1 Nivel 1: dispositivos físicos3.3.2 Nivel 2: volúmenes y particiones3.3.3 Nivel 3: sistemas de archivos3.3.4 Nivel 4: bloques de datos3.3.5 Nivel 5: metadatos3.3.6 Nivel 6: nombre de archivo3.3.7 Nivel 7: journaling3.4 RECUPERACIÓN DE ARCHIVOS BORRADOS3.4.1 Dinámica del borrado de archivos3.4.2 Sector/, cluster/ y file slack3.5 ANÁLISIS DE UNA IMAGEN FORENSE CON TSK3.5.1 Componentes de TSK3.5.2 Adquisición de un soporte de datos3.5.3 Instalación de TSK3.5.4 Análisis de la imagen3.5.5 Análisis del sistema de archivos3.5.6 Listado de archivos3.5.7 Recuperando archivos borrados3.6 ANÁLISIS DE ARCHIVOS3.6.1 Firmas características3.6.2 Documentos3.6.3 Archivos gráficos3.6.4 Multimedia3.6.5 Archivos ejecutables3.6.6 Exclusión de archivos conocidos3.7 DATA CARVING3.7.1 Cuando todo lo demás falla3.7.2 Extracción de archivosCAPÍTULO 4. ANÁLISIS FORENSE DE SISTEMAS MICROSOFT WINDOWS4.1 RECOPILANDO INFORMACIÓN VOLÁTIL4.1.1 Fecha y hora del sistema4.1.2 Conexiones de red abiertas4.1.3 Puertos TCP y UDP abiertos4.1.4 Ejecutables conectados a puertos TCP y UDP4.1.5 Usuarios conectados al sistema4.1.6 Tabla de enrutamiento interna4.1.7 Procesos en ejecución4.1.8 Archivos abiertos4.2 ANÁLISIS FORENSE DE LA RAM4.2.1 Captura de RAM completa con dd4.2.2 Volcado de RAM4.3 ADQUISICIÓN DE SOPORTES4.3.1 Adquisición con EnCase4.3.2 Adquisición con FTK Imager4.3.3 Otros métodos4.4 ANÁLISIS POST MORTEM4.4.1 Análisis con EnCase4.4.2 AccessData FTK4.4.3 Captain Nemo4.4.4 Mount Image Pro4.4.5 FileDisk4.5 INVESTIGACIÓN DEL HISTORIAL DE INTERNET4.5.1 Microsoft Internet Explorer4.5.2 X-Ways Trace4.5.3 iehist4.5.4 Historial de navegación en Mozilla/Firefox4.5.5 Chrome4.6 LA PAPELERA DE RECICLAJE4.6.1 Análisis de la papelera con Rifiuti4.6.2 Funcionamiento de la papelera en Windows Vista/74.7 COOKIES4.8 CORREO ELECTRÓNICO4.8.1 Formatos PST y DBX Folders4.8.2 Otros clientes de correo4.8.3 Paraben's E-Mail Examiner4.9 BÚSQUEDA DE CARACTERES4.9.1 SectorSpy, Disk Investigator y Evidor4.9.2 X-Ways Forensics4.10 METADATOS4.10.1 Cómo visualizar los metadatos de un documento4.10.2 Metadata Assistant4.10.3 FOCA4.10.4 Metadatos EXIF4.11 ANÁLISIS DE PARTICIONES NTFS Y FAT4.11.1 Runtime DiskExplorer4.11.2 Recuperación de archivos borrados4.11.3 Runtime GetDataBack4.11.4 EasyRecovery Professional4.11.5 R-Studio4.12 EL REGISTRO DE WINDOWS4.12.1 Estructura y archivos del Registro4.12.2 Análisis off line con Windows Registry Recovery4.12.3 RegRipperCAPÍTULO 5. ANÁLISIS FORENSE DE SISTEMAS LINUX/UNIX5.1 HERRAMIENTAS DE CÓDIGO LIBRE5.1.1 ¿Qué es exactamente el código libre?5.1.2 Linux en la investigación forense5.1.3 Poniendo en marcha una estación de trabajo con Linux5.1.4 Descarga, compilación e instalación de herramientas5.1.5 Montaje automático de particiones5.2 ESTRUCTURA TÍPICA DE UN SISTEMA LINUX5.2.1 Arquitectura y sistemas de archivos5.2.2 Jerarquía de directorios5.2.3 Archivos y permisos5.2.4 Marcas de tiempo5.3 INFORMACIÓN VOLÁTIL5.3.1 Fecha y hora del sistema5.3.2 Información de interés5.3.3 Puertos y conexiones abiertas5.3.4 Procesos en ejecución5.4 ADQUISICIÓN FORENSE5.4.1 Adquisición con dd5.4.2 Adepto5.5 ANÁLISIS5.5.1 La línea de tiempo5.5.2 Herramientas para elaborar una línea de tiempo5.5.3 Recuperación de archivos borrados5.6 OTRAS HERRAMIENTAS5.6.1 Chkrootkit y Rkhunter5.6.2 Md5deepCAPÍTULO 6. REDES E INTERNET6.1 COMPONENTES DE UNA RED6.1.1 Visión general de una red corporativa6.1.2 Archivos de registro6.1.3 Preservación de elementos de evidencia en redes6.1.4 Siguiendo pistas6.2 PROTOCOLOS6.2.1 Capa de transporte: TCP6.2.2 Puertos6.2.3 Capa de red: IP6.2.4 Enrutamiento6.2.5 Capa de enlace de datos: interfaces Ethernet6.2.6 Protocolos de nivel superior: HTTP y SMB6.3 ANALIZANDO EL TRÁFICO DE RED6.3.1 Wireshark6.3.2 Captura de tráfico: hubs, mirroring, bridges6.3.3 Utilización de Wireshark6.3.4 Un ejemplo práctico6.4 COMPROBACIÓN DE DIRECCIONES IP6.4.1 Herramientas de traza de red6.4.2 Whois o quién es quién en Internet6.4.3 Ping/fping6.4.4 Traceroute/tracert6.5 CORREO ELECTRÓNICO6.5.1 Cabeceras e-mail6.5.2 Estructura típica de un encabezadoCAPÍTULO 7. INVESTIGACIÓN FORENSE DE DISPOSITIVOS MÓVILES7.1 TELÉFONOS MÓVILES INTELIGENTES7.1.1 Smartphones: pasaporte al siglo XXI7.1.2 Hardware7.1.3 Software7.1.4 Información obtenible7.2 INVESTIGACIÓN FORENSE DEL APPLE IPHONE7.2.1 Consideraciones generales7.2.2 Adquisición del iPhone mediante iTunes7.2.3 iPhone Backup Extractor7.2.4 Acceso a un backup encriptado7.2.5 Adquisición lógica con herramientas de terceros7.2.6 Adquisición física de un iPhone7.2.7 Jailbreaking7.2.8 Adquisición basada en técnicas de jailbreaking7.2.9 Adquisición de otros dispositivos Apple7.3 DISPOSITIVOS ANDROID7.3.1 Introducción a Android7.3.2 Adquisición de la tarjeta de memoria7.3.3 Acceso al terminal Android7.3.4 Utilidades de sincronización7.3.5 Acceso mediante Android SDK7.3.6 Algunas nociones básicas de Android Debug Bridge7.3.7 Significado del rooting en Android7.3.8 Adquisición física mediante dd7.3.9 Examen de la memoria7.4 RESTO DE DISPOSITIVOS Y PROCEDIMIENTOS7.4.1 Supervivientes
