Este documento resume el proceso de cómputo forense, el cual incluye la identificación de la evidencia digital, su preservación realizando copias bit a bit, el análisis aplicando técnicas científicas para encontrar pruebas, y la presentación de un dictamen técnico. También discute conceptos como imágenes forenses, software y hardware de cómputo forense, y técnicas como Sniper Forensics para crear un plan de investigación forense.

1. CÓMPUTO FORENSE
RELOADED
Porque todo deja rastro
Andrés Velázquez, CISSP, GCFA, ACE, IEM
Especialista en Delitos Informáticos
Presidente & Fundador de MaTTica
@cibercrimen

2. Proceso del Cómputo Forense
• Proceso del Cómputo Forense
• Identificación: conocer los antecedentes,
situación actual y el proceso que se quiere seguir
para poder tomar la mejor decisión con respecto
al levantamiento del bien, búsquedas y las
estrategias de investigación.
• Preservación: revisión y generación de las
imágenes forenses de la evidencia para poder
Identificación Preservación
realizar el análisis
• Análisis: aplican técnicas científicas y analíticas a
los medios duplicados por medio del proceso
forense para poder encontrar pruebas de ciertas
conductas,
Presentación Análisis
• Presentación: La información resultante del
análisis quedará registrada en un dictamen
técnico que puede ser presentado internamente
o en un procedimiento legal.

3. La información contenida en …

5. Imagen Forense
• Copia bit a bit del contenido de un medio a analizar desde
el primer sector hasta el último sector del mismo.

6. ¿LO
ENCONTRASTE? NOP

7. ¿Qué se considera como un Incidente?
“¿Recuerdas aquellos días donde el SPAM sólo llegaba por computadora?”
7

8. Necesitamos menos de esto…

9. Y mucho más de ésto…

10. Sniper Forensics
• Crear un plan de investigación
• Aplicar la lógica
• Principio de Intercambio
de Lockard’s
• Principio de Alexiou
• Navaja de Ockham
• Extraer únicamente lo
necesario
• Permitir que los datos den
las respuestas
• Generar los reportes
necesarios
Christopher E. Pogue
Trustwave

11. Si usted mira lo suficiente esta foto,
Podrá encontrar el caparazón del Caracol

12. ¿A qué le voy a disparar?
• Registros de Windows
SAM
System
Security
• NTUSER.DAT por cada usuario
• Timelines
• $MFT
• Datos volátiles
• Memoria RAM

14. Previsualizando

15. Software / Protección
• Lo siguiente funciona en un Windows XP Profesional SP2, donde
hay que modificar del registro:
• [HKEY_LOCAL_MACHINESYSTEMCurrentContro
lSetControlStorageDevicePolicies]
"WriteProtect"=dword:00000001
• Una vez realizado, se coloca el disco evidencia en un Enclosure
(dispositivo que permite conectar discos duros por USB o Firewire)
donde por razones antes mencionadas uno de Firewire NO nos
funcionaría, tiene que ser de USB.

17. ¿Qué necesitamos?
Recursos
Hardware Software Procedimientos
Humanos

18. Podcast Crimen Digital…
• El podcast de cómputo forense,
seguridad en Internet y lo
relacionado con el cibercrimen.
• iTunes
• http://www.crimendigital.com

19. ¡Muchas Gracias!
¿Preguntas?
Andrés Velázquez, CISSP, GCFA, ACE, IEM
Especialista en Delitos Informáticos
Presidente & Fundador de MaTTica
@cibercrimen

20. Derechos Reservados (2011) por Círculo InforMaTTica S.A. de C.V.
-
Todos los Derechos reservados. Ninguna parte de este documento puede ser
reproducida en forma o mecanismo alguno, incluido fotocopiado, grabación o
-
almacenamiento en algún sistema de información, sin la autorización por escrito
del dueño del Derecho Reservado.
Copias de este documento pueden ser distribuidas, en papel y en formato
electrónico, siempre y cuando no se altere el documento original y se incluya
esta página.
Este documento NO pertenece al dominio público.
“Computo Forense Reloaded”
por Andrés Velázquez
contacto@mattica.com