Actividades Actividad: Manual de procesos para la adquisición de evidencias
Enviado por Berlinrm • 29 de Enero de 2018 • Tarea • 1.457 Palabras (6 Páginas) • 306 Visitas
Actividades[pic 1]
Actividad: Manual de procesos para la adquisición de evidencias
Objetivo
- Describir los pasos de adquisición de evidencia como una política de investigación interna que norme las reglas en cada uno de los pasos.
Desarrollo
El estudiante deberá de considerar al menos los siguientes criterios para desenvolver como parte de la temática dentro de la política de investigaciones:
- Procedimientos Fase Exploratoria (obtención de los datos).
- Identificación de la evidencia.
- Escena del crimen.
- Adquisición de evidencia digital.
- Sistema encendido.
- Sistema apagado.
- Valores de corroboración de evidencias.
- Preservación de la evidencia.
- Cadena de custodia.
Extensión aproximada: 5-10 páginas (Georgia 11, interlineado 1,5).
Tabla de contenido
Objetivo 3
Introducción 3
Desarrollo 3
1. Identificación del incidente 3
2. Identificación de la evidencia. 3
3. Lugar de la intervención 3
4. Adquisición o recolección de evidencia digital. 4
a. Sistema encendido. 4
b. Sistema apagado. 5
5. Valores de corroboración de evidencias. 6
6. Preservación de la evidencia. 6
a. Cadena de custodia. 6
Manual de procesos para la adquisición de evidencia
Procedimientos Fase Exploratoria (obtención de los datos).
Objetivo
Proporcionar una metodología para adquirir evidencia digital durante una investigación que involucre indicios digitales, los cuales apliquen el método científico y las mejores prácticas en la materia, con la intención de incorporar dichos indicios como elementos validos durante un proceso penal o un procedimiento administrativo.
Introducción
Desarrollo
A continuación, se explicará en cada una de las secciones del documento los pasos necesarios para el tratamiento de los indicios digitales
Identificación del incidente
Tomando como referencia la norma mexicana NMX-I-289-NYCE-2013, es importante primeramente identificar si existe o existió un incidente que podría estar relacionado con (por mencionar algunos), Negación de servicio, código malicioso, acceso no autorizado, uso inapropiado de activos o la combinación de los anteriores
Identificación de la evidencia.
Los activos de información en su contenido en sí, sus propiedades y características son fácilmente modificables, si no se tiene el tratamiento adecuado, estos podrían resultar dañados o destruidos.
Por lo que en esta etapa el analista forense deberá identificar de manera única todos y cada uno de los elementos involucrados en los hechos.
También será necesario definir las herramientas de hardware y software que se emplearán para la adquisición de los indicios digitales, su correcto almacenamiento y embalaje.
Lugar de la intervención
“Sitio en el que se ha cometido un hecho presuntamente delictivo o en el que se localizan o aportan indicios relacionados con el mismo.”[1]
Adquisición o recolección de evidencia digital.
Como se había mencionado anteriormente, los activos informáticos pueden modificarse o destruirse si no se toman las medidas adecuadas en su adquisición o duplicación.
La recolección es “la acción de levantar los indicios o elementos materiales probatorios mediante métodos y técnicas que garanticen su integridad.”[2]
Sistema encendido.
- Documentar el estado del equipo y fijar fotográficamente y preservar dicho estado.
- Documentar todas las conexiones del equipo de cómputo.
- Si el equipo se encuentra bloqueado por algún mecanismo de seguridad, se debe solicitar acceso a este, para llevar a cabo las tareas de adquisición pertinentes.
- Conectar el medio de almacenamiento USB el cual contiene las herramientas forenses especializadas en el equipo sujeto a investigación.
Adquisición de datos volátiles
- Ejecutar desde el dispositivo USB la herramienta que detecta cifrado en el medio de almacenamiento sujeto a investigación, esperar que finalice el análisis.
- En caso de que la herramienta detecte un volumen cifrado, documentar y fijar fotográficamente este hallazgo.
- Ejecutar las herramientas forenses pertinentes desde el dispositivo USB, para recolectar los datos volátiles.
- Pre-visualizar el/los volúmenes cifrados detectados previamente y corroborar que la herramienta pueda acceder a estos.
- Determinar la capacidad de memoria RAM, tamaño de los volúmenes cifrados, que tiene configurado el equipo sujeto a investigación.
- De acuerdo a la capacidad de memoria RAM, tamaño de los volúmenes cifrados a adquirir, seleccionar un dispositivo de almacenamiento con capacidad suficiente para almacenar las imágenes forenses correspondientes. (El dispositivo de almacenamiento debe ser sanitizado y formateado antes de usarlo).
Adquisición Lógica:
- Ejecutar las herramientas forenses pertinentes desde el dispositivo USB, para adquirir particiones configuradas en el equipo sujeto a investigación.
- Pre-visualizar el/las particiones detectadas previamente y corroborar que la herramienta pueda acceder a estos.
- Determinar la capacidad de las particiones, que tiene configurado el equipo sujeto a investigación.
- De acuerdo a la capacidad de las particiones a adquirir, seleccionar un dispositivo de almacenamiento con capacidad suficiente para almacenar las imágenes forenses correspondientes. (El dispositivo de almacenamiento debe ser sanitizado y formateado antes de usarlo).
- Calcular el valor hash de las particiones de interés a ser adquirido.
- Insertar el medido de almacenamiento que se utilizará para alojar las imágenes forenses correspondientes de las particiones de interés.
Adquisición Física:
- Ejecutar las herramientas forenses pertinentes desde el dispositivo USB, para adquirir dispositivos de almacenamiento físicos configurados en el equipo sujeto a investigación.
- Pre-visualizar los dispositivos de almacenamiento físicos detectados previamente y corroborar que la herramienta pueda acceder a estos.
- Determinar la capacidad de los dispositivos de almacenamiento, que tiene configurado el equipo sujeto a investigación.
- De acuerdo a la capacidad de los dispositivos de almacenamiento a adquirir, seleccionar un dispositivo de almacenamiento con capacidad suficiente para almacenar las imágenes forenses correspondientes. (El dispositivo de almacenamiento debe ser sanitizado y formateado antes de usarlo).
- Calcular el valor hash del medio de los medios de almacenamiento de interés a ser adquiridos.
- Insertar el medido de almacenamiento que se utilizara para alojar las imágenes forenses correspondientes a los medios de almacenamiento de interés.
Una vez finalizada la adquisición verificar, validar y documentar el valor hash de la imagen forense creada, comparándolo con el valor previo a la adquisición.
Si los valores coinciden la adquisición se llevó a cabo sin inconvenientes, si los valores hash no coindicen revisar los registros (log's) de la herramienta forense utilizada para la creación de la imagen y volver repetir el protocolo de adquisición.
...