MÓDULO 1. Principios metodológicos: investigación forense de delitos digitales

Este primer módulo del curso logra que el alumno establezca un contacto inicial con la materia: problemática de base, definiciones y principios generales.

1.1. Amenazas digitales:

1.1.1. Delitos informáticos.

1.1.2. Evaluación de riesgos.

1.1.3. Motivaciones de un ciberdelincuente.

1.1.4. Amenazas internas y externas.

1.2. Estrategia del atacante:

1.2.1. Footprinting.

1.2.2. Escaneo de puertos y protocolos.

1.2.3. Enumeración.

1.2.4. Penetración.

1.2.5. Puertas traseras.

1.2.6. Borrado de huellas.

1.3. Investigación informática forense:

1.3.1. “First responder” o primer interviniente.

1.3.2. Apagado brusco del sistema.

1.3.3. Objetos recogidos.

1.3.4. Etapas de una investigación digital forense:

1.3.4.1. Adquisición forense (Imaging).

1.3.4.2. Análisis de los datos.

1.3.4.3. Presentación de informes.

1.3.5. Requisitos de una investigación forense:

1.3.5.1. Aceptabilidad.

1.3.5.2. Integridad.

1.3.5.3. Credibilidad.

1.3.5.4. Relación causa-efecto.

1.3.5.5. Carácter repetible.

1.3.5.6. Documentación.

1.3.6. Línea de tiempo.

1.4. Finalmente, las decisiones de rigor.

MÓDULO 2. Soportes de datos

El objetivo de este módulo es que el alumno entienda conceptos clave como volúmenes, particiones, sistemas de archivos, journaling, etc., así como procedimientos de adquisición forense y las características de los principales tipos de archivos informáticos.

2.1. El modelo de niveles:

2.1.1. Nivel 1: dispositivos físicos.

2.1.2. Nivel 2: volúmenes y participaciones.

2.1.3. Nivel 3: sistema de archivos.

2.1.4. Nivel 4: bloque de datos.

2.1.5. Nivel 5: metadatos.

2.1.6. Nivel 6: nombres de los archivos.

2.1.7. Nivel 7: Journaling.

2.2. Participaciones y sistemas d archivos:

2.2.1. Microsoft NTFS.

2.2.2. Microsoft FAT.

2.2.3. Sistemas de archivos Linux ext2, ext3 y ext4.

2.2.4. HFS, HFS+, JFS, ReiserFS, Btrfs y otros.

2.3. Procedimientos de adquisición forense:

2.3.1. Dinámica general de la adquisición forense.

2.3.2. Herramientas de adquisición forense:

2.3.2.1. dd.

2.3.2.2. EnCase/Linen.

2.3.2.3. dcfldd, dc3dd y ddrescue.

2.3.2.4. AIR.

2.3.2.5. Adquisición forense vía hardware.

2.3.2.6. Sumas de verificación (hash).

2.3.2.7. Cálculo de MD5 y SHA1 con Linux y Windows.

2.4. Recuperación de archivos borrados:

2.4.1. Borrado de archivos por el sistema operativo.

2.4.2. ¿Qué es el slack de archivo, cluster y sector?

2.4.3. Tecnologías de recuperación de archivos borrados.

2.4.4. Data Carving.

2.5. Análisis de archivos:

2.5.1. Firmas características.

2.5.2. Documentos ofimáticos:

2.5.2.1. Documentos Open Office.

2.5.2.2. Archivos MS-Office antiguos.

2.5.2.3. Documentos RTF.

2.5.2.4. OpenDocument.

2.5.2.5. Documentos PDF.

2.5.3. Archivos gráficos:

2.5.3.1. Archivos JPG.

2.5.3.2. GIF.

2.5.3.3. PNG.

2.5.3.4. TIFF.

2.5.3.5. RAW.

2.5.4. Archivos de medios: video y audio

2.5.4.1. MPEG-1, MPEG-2 y MPEG-4.

2.5.4.2. WMV (Windows Media Video).

2.5.4.3. QuickTime.

2.5.4.4. MKV.

2.5.5. Archivos de medios: solo audio

2.5.5.1. WAV (Waveform Audio Format).

2.5.5.2. MPEG-3.

2.5.5.3. ASF/WMA.

2.5.5.4. AAC/M4A.

2.6. Código ejecutable.

2.7. Exclusión de archivos conocidos.

MÓDULO 3. Análisis forense de sistemas MS-Windows

Este módulo es el más importante y se plantea como una guía ordenada para el alumno de aproximación y estudio a los problemas de análisis forense de plataformas Microsoft Windows en sus diferentes versiones históricas.

3.1. Generalidades:

3.1.1. Versiones diferentes.

3.1.2. Interfaces gráficos vs línea de comando.

3.2. Información volátil:

3.2.1. Orden de volatilidad.

3.2.2. Tipos de información volátil:

3.2.2.1. Fecha y hora del sistema.

3.2.2.2. Conexiones de red.

3.2.2.3. Puertos abiertos.

3.2.2.4. Ejecutables conectados a puertos TCP y UDP.

3.2.2.5. Usuarios conectados.

3.2.2.6. Tabla de enrutamiento.

3.2.2.7. Procesos en ejecución.

3.2.2.8. Archivos abiertos.

3.3. Análisis forense de la memoria RAM:

3.3.1. Información no estructurada.

3.3.2. Captura de RAM mediante dd.exe.

3.3.3. Otras herramientas para captura de RAM.

3.3.4. Análisis de RAM con Volatility.

3.4. Adquisición de soportes de datos:

3.4.1. Adquisición forense con FTK Imager.

3.4.2. Adquisición con EnCase.

3.4.3. Otros procedimientos de adquisición.

3.5. Análisis de una adquisición forense:

3.5.1. Análisis con EnCase.

3.5.2. Access Data FTK.

3.5.3. Soluciones de bajo coste:

3.5.3.1. Captain Nemo.

3.5.3.2. FileDisk.

3.5.3.3. Mount Image Pro.

3.5.3.4. ProDiscover Basic.

3.6. Análisis de participaciones NTFS y FAT:

3.6.1. RunTime Disk Explorer.

3.6.2. Recuperación de archivos borrados:

3.6.2.1. No existe el borrado seguro al 100%...al menos en la práctica.

3.6.2.2. Runtime GetDataBack.

3.6.2.3. Easy Recovery Professional.

3.6.2.4. R-Studio.

3.7. La papelera de reciclaje:

3.7.1. Funcionamiento de la papelera de Windows.

3.7.2. Análisis de la papelera de Windows con Rifiuti.

3.7.3. La papelera en Windows Vista y 7.

3.7.4. La papelera en Windows 8/10.

3.8. El historial de navegación en Internet:

3.8.1. El factor humano.

3.8.2. Microsoft Internet Explorer.

3.8.3. Análisis con Pasco.

3.8.4. X-Ways Trace.

3.8.5. iehist.

3.8.6. Mozilla Firefox:

3.8.6.1. Ubicación de archivos.

3.8.6.2. Análisis con Sqliteman.

3.8.7. Google Chrome.

3.9. Cookies:

3.9.1. El problema con las cookies.

3.9.2. Funcionamiento.

3.9.3. Investigación de cookies con Galleta.

3.10. Metadatos:

3.10.1. Pero, ¿qué son exactamente?

3.10.2. Cómo podemos verlos.

3.10.3. F.O.C.A.

3.10.4. Metadata Assistant.

3.10.5. Metadatos EXIF.

3.11. Cadenas de caracteres:

3.11.1. Disk Investigator y Evidor.

3.11.2. Win-Hex.

3.12. Clientes de correo electrónico:

3.12.1. PST y DBX Folders.

3.12.2. Paraben ́s E-Mail Examiner.

3.13. El registro de Windows:

3.13.1. Dónde está y qué es el Registro de Windows.

3.13.2. Estructura del Registro de Windows.

3.13.3. Análisis off-line con Windows Registry Recovery.

3.13.4. RegRipper.

3.14. Artefactos forenses en Windows 8/8.1/10.

3.15. Otros artefactos de relevancia forense en Windows:

3.15.1. Archivos prefetch.

3.15.2. Carpetas temporales.

3.15.3. Eventos de Windows.

3.15.4. Archivo de paginación.

3.15.5. Registro de conexiones WiFi.

MÓDULO 4. Investigación forense en el entorno Linux

El éxito de las plataformas de código libre – especialmente Linux/Ubuntu – obliga al investigador a tenerlas en cuenta, no solo como objeto de análisis, sino también como herramienta para la investigación forense.

4.1. Importancia y limitaciones de Linux.

4.2. Código libre:

4.2.1. Definición y características del software libre.

4.2.2. Ventajas de la apertura del código.

4.3. Linux como herramienta de investigación forense:

4.3.1. Ventajas operativas y económicas.

4.3.2. Comenzando a trabajar.

4.3.3. La línea de comando.

4.3.4. Descarga, compilación e instalación de herramientas.

4.3.5. Peligro: montaje automático de participaciones.

4.3.6. HAL, udev, d-messagebus.

4.3.7. Soluciones al problema del montaje automático.

4.4. Estructura y organización de Linux:

4.4.1. Aprendizaje de Linux.

4.4.2. Arquitectura del sistema.

4.4.3. Designación de unidades y sistemas de archivos.

4.4.4. Jerarquía de directorios.

4.4.5. Algunos directorios de interés.

4.4.6. Diferentes tipos de usuario.

4.4.7. Archivos, permisos y privilegios de acceso.

4.4.8. Marcas de tiempo en Linux:

4.4.8.1. Utilidad de las marcas de tiempo.

4.4.8.2. Peligros.

4.5. Información volátil:

4.5.1. Fecha y hora del sistema.

4.5.2. Puertos utilizados y conexiones abiertas.

4.5.3. Procesos en ejecución.

4.5.4. Otras informaciones de interés.

4.6. Adquisición forense de Sistemas Linux:

4.6.1. Copia a bajo nivel con dd.

4.6.2. Adepto.

4.7. Fase de análisis:

4.7.1. Líneas de tiempo.

4.7.2. Obtención de datos en bruto para una línea de tiempo.

4.7.3. Recuperación de archivos borrados.

4.8. Otras herramientas:

4.8.1. ¿Qué es un rootkit?

4.8.2. Chkrootkit y RKhunter.

4.8.3. Md5deep.

MÓDULO 5. Investigación forense en redes e internet

Los ordenadores ya no son entornos aislados sino que forman parte de redes empresariales y domésticas. Un estudio de los conceptos básicos de la arquitectura de redes TCP/IP es condición imprescindible para la ejecución de tareas de investigación forense en cualquier entorno distribuido de tipo empresarial o particular.

5.1. Elementos característicos de una red local:

5.1.1. Esquema general de una red corporativa.

5.1.2. Archivos de registro.

5.1.3. Ejemplo: log de un servidor DHCP.

5.1.4. Datos en reposo y en tránsito.

5.1.5. Datos estacionarios de carácter volátil.

5.1.6. Dando saltos de aquí para allá.

5.1.7. ¿Quién dijo fácil?

5.2. Protocolos:

5.2.1. Funcionamiento general de los protocolos.

5.2.2. Pilas de protocolos.

5.2.3. Capa de aplicación.

5.2.4. Protocolos de nivel superior: HTTP y SMB.

5.2.5. Capa de transporte: TCP.

5.2.6. Puertos.

5.2.7. Capa de red: IP.

5.2.8. Red pública y redes privadas (locales).

5.2.9. El protocolo IPv6.

5.2.10. Enrutamiento.

5.2.11. Capa de enlace de datos: el interfaz Ethernet.

5.2.12. Conmutador (switch) y concentrador (hub).

5.3. Análisis y comprobación de direcciones IP:

5.3.1. Herramientas de traza de red.

5.3.2. Ping/fping.

5.3.3. Traceroute/Tracert.

5.3.4. Whois, o quién es quién en Internet.

5.4. Correo electrónico:

5.4.1. Procedimiento de análisis.

5.4.2. Estructura típica de un encabezado.

5.5. Análisis del tráfico de red:

5.5.1. Wireshark.

5.5.2. Captura de tráfico de red:

5.5.2.1. Conexión mediante hub.

5.5.2.2. Port mirroring.

5.5.2.3. Otros procedimientos.

5.5.3. Manejo de Wireshark.

MÓDULO 6. Investigación forense de sistemas Apple OS X

Aunque los Mac siguen siendo poco utilizados, la complejidad, capacidades técnicas y relevancia de los entornos Apple para diversas aplicaciones obligan a incluirlos en este módulo adicional que tiene un carácter meramente introductorio y descriptivo.

6.1. Carácter exclusivo y particularidades:

6.1.1. Observaciones preliminares.

6.1.2. Apple y el delito de guante blanco.

6.1.3. Breve historia del Mac.

6.2. Acceso a la máquina:

6.2.1. Examen en vivo.

6.2.2. Modo de usuario único.

6.2.3. Arranque desde CD/DVD.

6.2.4. Arranque en modo “Target Disk”.

6.3. Cómo organiza Apple la información:

6.3.1. Sistemas de archivos.

6.3.2. Estructura de disco:

6.3.2.1. Apple Partition Map.