Informática Forense para empresas
Información
Estrategias de Formación Iniciativas Empresariales
Online
Curso
• Cuál es el estado actual de la Informática Forense en un contexto de cambio estructural y rápidos avances tecnológicos. • Cuáles son las implicaciones jurídicas del uso, la investigación y el análisis de medios digitales, tanto en el ámbito de la empresa como en cualquier otro aspecto de la vida social. • Cómo se lleva a cabo el análisis forense de los dispositivos digitales. • Qué dispositivos son susceptibles de análisis forense. • Cuál es la probabilidad de que se produzca un robo de datos o una intrusión en el sistema de una empresa. • Cómo debe prevenirse la fuga de información confidencial en la empresa. • Cuáles son las bases legales que en España regulan la recogida, interpretación y valoración de evidencias digitales. • Cuáles son los componentes relevantes de una red corporativa. • Qué dificultades plantea al investigador y a la defensa legal el análisis de teléfonos móviles y smartphones. • Cómo evaluar la conveniencia de emprender actuaciones legales que pueden suponer un coste importante para la empresa. • Cómo elaborar políticas de uso de Internet y de medios digitales por parte del personal de la empresa. • Cómo detectar y corregir vulnerabilidades en el sistema de seguridad de la empresa. A quién va dirigido Profesionales del mundo de la Informática que quieran actualizar sus conocimientos para resol problemas relacionados con la seguridad de la información de sus empresas, así como a todos aquellos profesionales que quieran aplicar de forma práctica la Informática Forense para realizar valoraciones, dictámenes y peritaciones informáticas en la empresa. Temario completo de este curso MÓDULO 1. Principios metodológicos: investigación forense de delitos digitales Este primer módulo del curso logra que el alumno establezca un contacto inicial con la materia: problemática de base, defnes y principios generales. 1.1. Amenazas digitales: 1.1.1. Delitos informáticos. 1.1.2. Evaluación de riesgos. 1.1.3. Motivaciones de un ciberdelincuente. 1.1.4. Amenazas internas y externas. 1.2. Estrategia del atacante: 1.2.1. Footprinting. 1.2.2. Escaneo de puertos y protocolos. 1.2.3. Enumeración. 1.2.4. Penetración. 1.2.5. Puertas traseras. 1.2.6. Borrado de huellas. 1.3. Investigación informática forense: 1.3.1. “First responder” o primer interviniente. 1.3.2. Apagado brusco del sistema. 1.3.3. Objetos recogidos. 1.3.4. Es de una investigación digital forense: 1.3.4.1. Adquisición forense (Imaging). 1.3.4.2. Análisis de los datos. 1.3.4.3. Presentación de informes. 1.3.5. Requisitos de una investigación forense: 1.3.5.1. Aceptabilidad. 1.3.5.2. Integridad. 1.3.5.3. Credibilidad. 1.3.5.4. Relación causa-efecto. 1.3.5.5. Carácter repetible. 1.3.5.6. Documentación. 1.3.6. Línea de tiempo. 1.4. Finalmente, las decisiones de rigor. MÓDULO 2. Soportes de datos El objetivo de este módulo es que el alumno entienda conceptos clave como volúmenes, particiones, sistemas de archivos, journaling, etc., así como procedimientos de adquisición forense y las características de los principales tipos de archivos informáticos. 2.1. El modelo de niveles: 2.1.1. Nivel 1: dispositivos físicos. 2.1.2. Nivel 2: volúmenes y participaciones. 2.1.3. Nivel 3: sistema de archivos. 2.1.4. Nivel 4: bloque de datos. 2.1.5. Nivel 5: metadatos. 2.1.6. Nivel 6: nombres de los archivos. 2.1.7. Nivel 7: Journaling. 2.2. Participaciones y sistemas d archivos: 2.2.1. Microsoft NTFS. 2.2.2. Microsoft FAT. 2.2.3. Sistemas de archivos Linux ext2, ext3 y ext4. 2.2.4. HFS, HFS+, JFS, ReiserFS, Btrfs y otros. 2.3. Procedimientos de adquisición forense: 2.3.1. Dinámica general de la adquisición forense. 2.3.2. Herramientas de adquisición forense: 2.3.2.1. dd. 2.3.2.2. EnCase/Linen. 2.3.2.3. dcfldd, dc3dd y ddrescue. 2.3.2.4. AIR. 2.3.2.5. Adquisición forense vía hardware. 2.3.2.6. Sumas de ificación (hash). 2.3.2.7. Cálculo de MD5 y SHA1 con Linux y Windows. 2.4. Recuperación de archivos borrados: 2.4.1. Borrado de archivos por el sistema operativo. 2.4.2. ¿Qué es el slack de archivo, cluster y sector? 2.4.3. Tecnologías de recuperación de archivos borrados. 2.4.4. Data Carving. 2.5. Análisis de archivos: 2.5.1. Firmas características. 2.5.2. Documentos ofimáticos: 2.5.2.1. Documentos Open Office. 2.5.2.2. Archivos MS-Office antiguos. 2.5.2.3. Documentos RTF. 2.5.2.4. OpenDocument. 2.5.2.5. Documentos PDF. 2.5.3. Archivos gráficos: 2.5.3.1. Archivos JPG. 2.5.3.2. GIF. 2.5.3.3. PNG. 2.5.3.4. TIFF. 2.5.3.5. RAW. 2.5.4. Archivos de medios: video y audio 2.5.4.1. MPEG-1, MPEG-2 y MPEG-4. 2.5.4.2. WMV (Windows Media Video). 2.5.4.3. QuickTime. 2.5.4.4. MKV. 2.5.5. Archivos de medios: solo audio 2.5.5.1. WAV (Waveform Audio Format). 2.5.5.2. MPEG-3. 2.5.5.3. ASF/WMA. 2.5.5.4. AAC/M4A. 2.6. Código ejecutable. 2.7. Exclusión de archivos conocidos. MÓDULO 3. Análisis forense de sistemas MS-Windows Este módulo es el más importante y se plantea como una guía ordenada para el alumno de aproximación y estudio a los problemas de análisis forense de plataformas Microsoft Windows en sus diferentes siones históricas. 3.1. Generalidades: 3.1.1. siones diferentes. 3.1.2. Interfaces gráficos vs línea de comando. 3.2. Información volátil: 3.2.1. Orden de volatilidad. 3.2.2. Tipos de información volátil: 3.2.2.1. Fecha y hora del sistema. 3.2.2.2. Conexiones de red. 3.2.2.3. Puertos abiertos. 3.2.2.4. Ejecutables conectados a puertos TCP y UDP. 3.2.2.5. Usuarios conectados. 3.2.2.6. Tabla de enrutamiento. 3.2.2.7. Procesos en ejecución. 3.2.2.8. Archivos abiertos. 3.3. Análisis forense de la memoria RAM: 3.3.1. Información no estructurada. 3.3.2. Captura de RAM mediante dd.exe. 3.3.3. Otras herramientas para captura de RAM. 3.3.4. Análisis de RAM con Volatility. 3.4. Adquisición de soportes de datos: 3.4.1. Adquisición forense con FTK Imager. 3.4.2. Adquisición con EnCase. 3.4.3. Otros procedimientos de adquisición. 3.5. Análisis de una adquisición forense: 3.5.1. Análisis con EnCase. 3.5.2. Access Data FTK. 3.5.3. Soluciones de bajo coste: 3.5.3.1. Captain Nemo. 3.5.3.2. FileDisk. 3.5.3.3. Mount Image Pro. 3.5.3.4. ProDisco Basic. 3.6. Análisis de participaciones NTFS y FAT: 3.6.1. RunTime Disk Explorer. 3.6.2. Recuperación de archivos borrados: 3.6.2.1. No existe el borrado seguro al 100%...al menos en la práctica. 3.6.2.2. Runtime GetDataBack. 3.6.2.3. Easy Recoy Professional. 3.6.2.4. R-Studio. 3.7. La papelera de reciclaje: 3.7.1. Funcionamiento de la papelera de Windows. 3.7.2. Análisis de la papelera de Windows con Rifiuti. 3.7.3. La papelera en Windows Vista y 7. 3.7.4. La papelera en Windows 8/10. 3.8. El historial de navegación en Internet: 3.8.1. El factor humano. 3.8.2. Microsoft Internet Explorer. 3.8.3. Análisis con Pasco. 3.8.4. X-Ways Trace. 3.8.5. iehist. 3.8.6. Mozilla Firefox: 3.8.6.1. de archivos. 3.8.6.2. Análisis con Sqliteman. 3.8.7. Google Chrome. 3.9. Cookies: 3.9.1. El problema con las cookies. 3.9.2. Funcionamiento. 3.9.3. Investigación de cookies con Galleta. 3.10. Metadatos: 3.10.1. Pero, ¿qué son exactamente? 3.10.2. Cómo podemos los. 3.10.3. F.O.C.A. 3.10.4. Metadata Assistant. 3.10.5. Metadatos EXIF. 3.11. Cadenas de caracteres: 3.11.1. Disk Investigator y Evidor. 3.11.2. Win-Hex. 3.12. Clientes de correo electrónico: 3.12.1. PST y DBX Folders. 3.12.2. Paraben ́s E-Mail Examiner. 3.13. El registro de Windows: 3.13.1. Dónde está y qué es el Registro de Windows. 3.13.2. Estructura del Registro de Windows. 3.13.3. Análisis off-line con Windows Registry Recoy. 3.13.4. RegRipper. 3.14. Artefactos forenses en Windows 8/8.1/10. 3.15. Otros artefactos de relevancia forense en Windows: 3.15.1. Archivos prefetch. 3.15.2. Carpetas temporales. 3.15.3. Eventos de Windows. 3.15.4. Archivo de paginación. 3.15.5. Registro de conexiones WiFi. MÓDULO 4. Investigación forense en el entorno Linux El éxito de las plataformas de código libre – especialmente Linux/Ubuntu – obliga al investigador a tenerlas en cuenta, no solo como objeto de análisis, sino también como herramienta para la investigación forense. 4.1. Importancia y limitaciones de Linux. 4.2. Código libre: 4.2.1. Definición y características del software libre. 4.2.2. Ventajas de la apertura del código. 4.3. Linux como herramienta de investigación forense: 4.3.1. Ventajas operativas y económicas. 4.3.2. Comenzando a trabajar. 4.3.3. La línea de comando. 4.3.4. Descarga, compilación e instalación de herramientas. 4.3.5. Peligro: montaje automático de participaciones. 4.3.6. HAL, udev, d-messagebus. 4.3.7. Soluciones al problema del montaje automático. 4.4. Estructura y organización de Linux: 4.4.1. Aprendizaje de Linux. 4.4.2. Arquitectura del sistema. 4.4.3. Designación de unidades y sistemas de archivos. 4.4.4. Jerarquía de directorios. 4.4.5. Algunos directorios de interés. 4.4.6. Diferentes tipos de usuario. 4.4.7. Archivos, permisos y privilegios de acceso. 4.4.8. Marcas de tiempo en Linux: 4.4.8.1. Utilidad de las marcas de tiempo. 4.4.8.2. Peligros. 4.5. Información volátil: 4.5.1. Fecha y hora del sistema. 4.5.2. Puertos utilizados y conexiones abiertas. 4.5.3. Procesos en ejecución. 4.5.4. Otras informaciones de interés. 4.6. Adquisición forense de Sistemas Linux: 4.6.1. Copia a bajo nivel con dd. 4.6.2. Adepto. 4.7. Fase de análisis: 4.7.1. Líneas de tiempo. 4.7.2. Obtención de datos en bruto para una línea de tiempo. 4.7.3. Recuperación de archivos borrados. 4.8. Otras herramientas: 4.8.1. ¿Qué es un rootkit? 4.8.2. Chkrootkit y RKhunter. 4.8.3. Md5deep. MÓDULO 5. Investigación forense en redes e internet Los ordenadores ya no son entornos aislados sino que forman parte de redes empresariales y domésticas. Un estudio de los conceptos básicos de la arquitectura de redes TCP/IP es condición imprescindible para la ejecución de tareas de investigación forense en cualquier entorno distribuido de tipo empresarial o particular. 5.1. Elementos característicos de una red local: 5.1.1. Esquema general de una red corporativa. 5.1.2. Archivos de registro. 5.1.3. Ejemplo: log de un servidor DHCP. 5.1.4. Datos en reposo y en tránsito. 5.1.5. Datos estacionarios de carácter volátil. 5.1.6. Dando saltos de aquí para allá. 5.1.7. ¿Quién dijo fácil? 5.2. Protocolos: 5.2.1. Funcionamiento general de los protocolos. 5.2.2. Pilas de protocolos. 5.2.3. de aplicación. 5.2.4. Protocolos de nivel superior: HTTP y SMB. 5.2.5. de transporte: TCP. 5.2.6. Puertos. 5.2.7. de red: IP. 5.2.8. Red pública y redes privadas (locales). 5.2.9. El protocolo IPv6. 5.2.10. Enrutamiento. 5.2.11. de enlace de datos: el interfaz Ethernet. 5.2.12. Conmutador (switch) y concentrador (hub). 5.3. Análisis y comprobación de direcciones IP: 5.3.1. Herramientas de traza de red. 5.3.2. Ping/fping. 5.3.3. Traceroute/Tracert. 5.3.4. Whois, o quién es quién en Internet. 5.4. Correo electrónico: 5.4.1. Procedimiento de análisis. 5.4.2. Estructura típica de un encabezado. 5.5. Análisis del tráfico de red: 5.5.1. Wireshark. 5.5.2. Captura de tráfico de red: 5.5.2.1. Conexión mediante hub. 5.5.2.2. Port mirroring. 5.5.2.3. Otros procedimientos. 5.5.3. Manejo de Wireshark. MÓDULO 6. Investigación forense de sistemas Apple OS X Aunque los Mac siguen siendo poco utilizados, la complejidad, cidades técnicas y relevancia de los entornos Apple para disas aplicaciones obligan a incluirlos en este módulo adicional que tiene un carácter meramente introductorio y descriptivo. 6.1. Carácter exclusivo y particularidades: 6.1.1. Observaciones preliminares. 6.1.2. Apple y el delito de guante blanco. 6.1.3. Breve historia del Mac. 6.2. Acceso a la máquina: 6.2.1. Examen en vivo. 6.2.2. Modo de usuario único. 6.2.3. Arranque desde CD/DVD. 6.2.4. Arranque en modo “Target Disk”. 6.3. Cómo organiza Apple la información: 6.3.1. Sistemas de archivos. 6.3.2. Estructura de disco: 6.3.2.1. Apple Partition Map. más
Otros cursos de esta academia
Contratos de Logística Integral
(Estrategias de Formación Iniciativas Empresariales)
• cómo negociar los indicadores de cumplimiento del contrato así como las variaciones de precios a los que van ligadas... • qué opciones puede manejar en la negociación...
Gestión del Riesgo en el Uso de Divisas en el Comercio...
(Estrategias de Formación Iniciativas Empresariales)
Los tipos de interés: 2... • qué es un mercado financiero... la política monetaria... anexo: fórmula de cálculo... productos financieros para gestión de riesgos:...
Gestión Integral de Stocks
(Estrategias de Formación Iniciativas Empresariales)
Costos relacionados a los stocks: sobrestocks y stocks residuales 1... análisis comparativo de los costos “γ(l)” y “γ(s)”... productos con vencimientos...
Gestión de la Responsabilidad Social Corporativa
(Estrategias de Formación Iniciativas Empresariales)
Marketing sustentable: 4... definición de aspectos materiales en la agenda corporativa e institucional... tendencias en el voluntariado corporativo...
Mindfulness en la Empresa
(Estrategias de Formación Iniciativas Empresariales)
Técnica de comunicación asertiva... ejemplos de aplicación... área de influencia... la manera de funcionar original de la mente... comunicación y acción consciente...
Gestión de una Entrevista de Selección
(Estrategias de Formación Iniciativas Empresariales)
• cómo preparar el escenario donde va a tener lugar la entrevista de trabajo... cómo se prepare el escenario de la reunión es algo a lo que prestarle la máxima atención...
Eneagrama y Empresa
(Estrategias de Formación Iniciativas Empresariales)
Propósito evolutivo, plenitud y autogestión... la revolución industrial y la especialización del trabajo... la globalización modifica el modelo organizativo tradicional:...
Gestión de la Incertidumbre
(Estrategias de Formación Iniciativas Empresariales)
Cómo favorecer el equilibrio... fases del eje del estrés... funcionamiento fisiológico del estrés... profundizando en la autoestima y el autoconcepto...
Certificación Green Belt en Lean Practioner y Six Sigma Según la...
(Estrategias de Formación Iniciativas Empresariales)
Ejercicio de cálculo del cuartil en una distribución... plan de recolección de datos: 2... • cómo aumentar la satisfacción del cliente a través de la optimización...
Morfopsicologia Aplicada a Comercial y Ventas: “Vender por la Cara”
(Estrategias de Formación Iniciativas Empresariales)
La observación del rostro 5 horas ** la morfopsicología es una ciencia que combina la psicología, la biología y la fisiología y que nos permite comprender el carácter...