xi

Contenido

INTRODUCCIN
LA INFORMTICA FORENSE, UNA DISCIPLINA TCNICO-LEGAL

1
13 13 14 14 15 16 17 19 19 20 26 35 43 49 59 59 62 64 65 66 69 70

CAPTULO 1

LA COMPUTACIN FORENSE, UNA PERSPECTIVA DE TRES ROLES Introduccin 1.1 Las evidencias tradicionales 1.2 El informtico forense 1.3 La faceta del intruso 1.3.1 Los roles del intruso 1.4 El investigador

EL INTRUSO Y SUS TCNICAS Introduccin 2.1 Breve historia de los hackers 2.2 La mente de los intrusos 2.2.1 Tcnicas bsicas de hacking 2.2.2 Tcnicas avanzadas de hacking 2.3 Identificacin de rastros de los ataques

CAPTULO 2

PARA PROFUNDIZAR

PRCTICA DE ASALTO A UNA SESIN TCP 1. Conceptos bsicos 2 Estructura de un asalto a una sesin TCP 3 Herramientas para asaltar una sesin TCP 4. Herramienta Hunt 5. Prctica del asalto de una sesin TCP 6. Rastros del asalto a la sesin TCP 7. Correccin del asalto

CAPTULO 3

EL ADMINISTRADOR Y LA INFRAESTRUCTURA DE LA SEGURIDAD INFORMTICA Introduccin 3.1 Roles y responsabilidades del administrador de sistemas 3.2 Consideraciones de diseo de infraestructuras de seguridad 3.2.1 Inseguridad centralizada 3.2.2 Inseguridad decentralizada 3.2.3 Inseguridad en el Web 3.2.4 Inseguridad orientada a los servicios 3.2.5 Evolucin de la inseguridad informtica 3.3 Tcnicas bsicas para el diseo y la generacin del rastro 3.4 Auditabilidad y trazabilidad

75 75 76 82 83 84 89 92 94 96 100

xii

COMPUTACIN FORENSE

3.4.1 Auditabilidad 3.4.2 Trazabilidad 3.5 Consideraciones jurdicas y aspectos de los rastros en las plataformas tecnolgicas 3.5.1. Autenticidad 3.5.2 Confiabilidad 3.5.3 Suficiencia 3.5.4 Conformidad con las leyes y las regulaciones de la administracin de la justicia

100 104 107 108 110 111 112 117 117 120 121 123 125 126 127 128 129 129 132 135

PARA PROFUNDIZAR

LOS IDS Y LOS IPS: UNA COMPARACIN PRCTICA 1. IDS: Sistemas de deteccin de intrusos 1.1 Clasificacin por la metodologa empleada 1.2 Clasificacin por caractersticas intrnsecas del sistema 2. IPS: Sistemas de prevencin de intrusos (Intrusion Prevention Systems) 2.1 Los IPS inline 2.2 Switches de nivel de aplicacin 2.3 Firewalls de aplicacin / IDS 2.4 Switches hbridos 2.5 Aplicaciones engaosas (deceptive) 2.6 Una comparacin prctica entre un IDS y un IPS 2.6.1 Deteccin del ataque con el IDS 2.6.2 Deteccin del ataque con el IPS

CAPTULO 4

EL INVESTIGADOR Y LA CRIMINALISTICA DIGITAL Introduccin 4.1 Introduccin a la criminalstica digital 4.2 Roles y responsabilidades del investigador forense en informtica 4.3 Modelos y procedimientos para adelantar investigaciones forenses en informtica 4.3.1 Algunos modelos de investigaciones forenses en informtica 4.4 Credenciales para los investigadores forenses en informtica 4.4.1 Iacis 4.4.2 HTCN 4.4.3 Iisfa 4.4.4 Isfce 4.4.5 SANS Institute 4.5 Informes de investigacin y presentacin de pruebas informticas 4.5.1 Teora bsica de la preparacin de informes 4.5.2 Consideraciones bsicas sobre los informes periciales 4.5.3 Estructura base de un informe pericial 4.5.4 Estructura general

141 141 143 148 153 154 159 161 161 163 163 164 169 169 172 173 173

PARA PROFUNDIZAR

ANLISIS DE DATOS: UNA PROPUESTA METODOLGICA Y SU APLICACIN EN THE SLEUTH Y ENCASE 1. Metodologa de examen y anlisis de datos 2. Introduccin a Encase 3. Introduccina a Sleuth Kit y Autopsy 4. Caso de prueba

179 180 185 191 197

ALFAOMEGA

JEIMY J. CANO

xiii
217 217 222 225 229 231 231 234 236 236 237 238 239 240 245 246 248 249 251 255 257 264 264 264 265 265 266 268 268 269 269 270 270 270 270 271 272

CAPTULO 5

RETOS Y RIESGOS EMERGENTES PARA LA COMPUTACIN FORENSE 5.1 La formacin de especialistas en informtica forense 5.2 Confiabilidad de las herramientas forenses en informtica 5.3 Tcnicas antiforenses y sus implicaciones para las investigaciones actuales y futuras 5.3.1 Destruccin de la evidencia 5.4 Cibercrimen y ciberterrorismo: amenazas estratgicas y tcticas de las organizaciones modernas 5.4.1 Ciberterrorismo 5.4.2 Cibercrimen: viejos hbitos del mundo offline, nuevas armas en el mundo online 5.4.3 Retos tecnolgicos para los investigadores forenses en informtica 5.4.4 Archivos cifrados 5.4.5 Esteganografa en video 5.4.6 Rastros en ambientes virtuales 5.4.7 Informacin almacenada electrnicamente en memoria voltil 5.4.8 Anlisis de sistemas en vivo

PARA PROFUNDIZAR

RECUPERACIN DE INFORMACIN: NTFS VS. FAT 1. Sistemas de archivos 1.1 NTFS 1.1.1 Estructura de NTFS 1.1.2 Sector de arranque 1.1.3 Tabla Maestra y Metadata 1.1.4 Atributos de archivos 2. Borrado 2.1 Borrar vs. Eliminar 2.2 Metodologas para eliminar 3. Recuperacin de informacin en FAT 3.1 Borrado en FAT 3.2 Eliminar en FAT 3.3 Evidencias de borrado para recuperacin 3.4 Recuperar borrado en FAT 4. Recuperacin de informacin en NTFS 4.1 Recuperacin automtica de NTFS 4.2 Borrado en NTFS 4.3 Eliminar en NTFS 4.4 Evidencias de borrado para recuperacin 4.5 Recuperar borrado en NTFS 4.6 Recuperar el sector de arranque 5. Demostracin

CAPTULO 6

ANEXOS COMPLEMENTARIOS Introduccin A6.1 Buenas prcticas en la administracin de evidencia digital A6.2 Fuentes potenciales de evidencia digital A6.3 Evidencia digital en la prctica A6.4 Caractersticas para seleccionar un informtico forense A6.5 Consejos y sugerencias para los abogados litigantes frente a las pruebas informticas A6.6 Consejos prcticos para sustentar un reporte tcnico en una audiencia
ALFAOMEGA

289 289 292 300 303 304 307 310

xiv
PARA PROFUNDIZAR

COMPUTACIN FORENSE

CORRELACIN Y VISUALIZACIN DE BITCORAS PARA EL ANLISIS FORENSE 1. Bitcoras y cmputo forense 2. Correlacin de bitcoras 2.1 Basados en probabilidades 2.2 Basados en escenarios de ataques predefinidos 2.2.1 Sec 2.3 Basados en prerrequisitos y consecuencias 2.4 Basados en mltiples fuentes de informacin 3. Visualizacin de eventos 3.1 Herramientas de visualizacin 3.1.1 RazorBack 3.1.2 SnortSnarf y ACID 3.1.3 SnortView 3.1.4 Spinning cube of potential doom 3.1.5 Starmine 3.1.6 Visual

313 315 316 317 317 317 318 320 321 322 323 323 324 325 325 325

ALFAOMEGA