Guía metodológica sobre las técnicas y herramientas de software libre, aplicadas a la informática forense

Este tesis tiene por objetivo principal la creación de una guía metodológica sobre las técnicas y herramientas de software libre, aplicadas informática forense, como una respuesta a la necesidad de lo que se pretende es crear un marco de referencia para que los investigadores de esta nueva ciencia...

Descripción completa

Detalles Bibliográficos
Autores principales: Díaz Jurado, Gerardo, Usme Acuña, Jaime
Otros Autores: Carrillo Zambrano, Eduardo
Formato: info:eu-repo/semantics/masterThesis
Lenguaje:Español
Publicado: Universidad Autónoma de Bucaramanga UNAB 2020
Materias:
Acceso en línea:http://hdl.handle.net/20.500.12749/3460
http://biblioteca-repositorio.clacso.edu.ar/handle/CLACSO/22378
_version_ 1782335369163833344
author Díaz Jurado, Gerardo
Usme Acuña, Jaime
author2 Carrillo Zambrano, Eduardo
author_facet Carrillo Zambrano, Eduardo
Díaz Jurado, Gerardo
Usme Acuña, Jaime
author_sort Díaz Jurado, Gerardo
collection Repositorio
description Este tesis tiene por objetivo principal la creación de una guía metodológica sobre las técnicas y herramientas de software libre, aplicadas informática forense, como una respuesta a la necesidad de lo que se pretende es crear un marco de referencia para que los investigadores de esta nueva ciencia tengan pautas de procedimiento a la hora de actuar; no se trata de crear una camisa de fuerza o una tendencia de uso exclusivo de actuación, sino por el contrario, se pretende crear nuevas alternativas que brinden respuestas acertadas a la hora de realizar análisis forenses sobre sistemas informáticos vulnerados. En el presente trabajo se compilara la mayor información posible sobre el tema, visualizándose siempre como herramienta de uso y ayuda para todos los que han inclinado su interés profesional por dar respuesta a los casos de vulneración de sistemas, y quedará abierto a nuevas actualizaciones y/o aportes que los lectores puedan realizar al mismo.
format info:eu-repo/semantics/masterThesis
id clacso-CLACSO22378
institution CLACSO, Repositorio Digital
language Español
publishDate 2020
publisher Universidad Autónoma de Bucaramanga UNAB
record_format greenstone
spelling clacso-CLACSO223782022-03-14T20:13:56Z Guía metodológica sobre las técnicas y herramientas de software libre, aplicadas a la informática forense Methodological guide on free software techniques and tools applied to forensic computing Díaz Jurado, Gerardo Usme Acuña, Jaime Carrillo Zambrano, Eduardo https://scienti.minciencias.gov.co/cvlac/visualizador/generarCurriculoCv.do?cod_rh=0001658661 https://scholar.google.es/citations?view_op=search_authors&mauthors=Eduardo+Carrillo+Zambrano&hl=es&oi=ao https://orcid.org/0000-0002-0868-940X https://www.researchgate.net/profile/Eduardo_Carrillo_Zambrano Grupo de Investigación Preservación e Intercambio Digital de Información y Conocimiento - Prisma Systems Engineering Computer crimes Data protection Computer security Research Ingeniería de sistemas Delitos por computador Protección de datos Seguridad en computadores Investigaciones Guía metodológica Análisis forenses Sistemas informáticos vulnerados Este tesis tiene por objetivo principal la creación de una guía metodológica sobre las técnicas y herramientas de software libre, aplicadas informática forense, como una respuesta a la necesidad de lo que se pretende es crear un marco de referencia para que los investigadores de esta nueva ciencia tengan pautas de procedimiento a la hora de actuar; no se trata de crear una camisa de fuerza o una tendencia de uso exclusivo de actuación, sino por el contrario, se pretende crear nuevas alternativas que brinden respuestas acertadas a la hora de realizar análisis forenses sobre sistemas informáticos vulnerados. En el presente trabajo se compilara la mayor información posible sobre el tema, visualizándose siempre como herramienta de uso y ayuda para todos los que han inclinado su interés profesional por dar respuesta a los casos de vulneración de sistemas, y quedará abierto a nuevas actualizaciones y/o aportes que los lectores puedan realizar al mismo. Universitat Oberta de Catalunya UOC INTRODUCCIÓN 1 1. ELEMENTOS DE IDENTIFICACIÓN 5 1.1 TEMA 5 1.2 TITULO 5 1.3 LÍNEA 5 1.4 PROBLEMA 5 1.4.1 Descripción del Problema 5 1.4.2 Formulación del problema 8 1.5 OBJETIVOS 8 1.5.1 Objetivo General 8 1.5.2 Objetivos Específicos 8 2. MARCO DE REFERENCIA 10 2.1 Marco Teórico Conceptual 10 2.1.1 Introducción a la informática forense 10 2.1.2 Contexto general de la disciplina 11 2.1.3 Definición de informática forense 11 2.1.4 Objetivos de la informática forense 12 2.1.5 Evidencia digital y aspectos legales 13 2.1.6 Delitos informáticos 13 2.1.6.1 Tipos de delitos informáticos 14 2.1.6.1.1 Los Fraudes 14 2.1.6.1.2 Sabotaje informático 17 2.1.6.1.3 Espionaje informático y uso de software ilegal 20 2.1.6.1.4 El robo de servicios 21 2.1.6.1.5 El acceso no autorizado a servicios informáticos 22 2.1.7 Seguridad informática 24 2.1.8 Procedimiento en el análisis forense 26 2.1.8.1 Identificación 27 2.1.8.2 Adquisición 29 2.1.8.3 Análisis de datos 30 2.1.8.4 Preparación del informe 31 2.1.9 Tipos de Análisis forense 34 2.1.9.1 Análisis forense postmorten 34 2.1.9.2 Análisis forense en caliente 34 2.1.10 Modelos de Investigación 35 2.1.10.1 Modelos de investigación más conocidos 36 2.1.11 Cualidades 41 2.1.12 Herramientas forenses 42 2.1.12.1 Herramientas de código abierto 44 2.1.12.2 Herramientas comerciales 46 2.1.12.3 Herramientas según su funcionalidad 50 2.1.12.4 Herramientas para la recolección de evidencia 50 2.1.12.5 Herramientas para el monitoreo y/o control de computadores 51 2.1.12.6 Herramientas de marcado de documentos 53 2.1.12.7 Herramientas de hardware 56 2.1.13 Procedimientos y estándares 58 2.1.13.1 Recolección de evidencia 58 2.1.13.2 Preservación de la evidencia 60 2.1.13.3 Análisis de la evidencia 61 2.1.13.4. Presentación de un informe forense 63 2.2 Marco Legal 65 3. METODOLOGÍA 70 3.1 Ciclo de Vida del Proyecto 70 3.1.1 Estudio general actual 70 3.1.2 Desarrollo de la solución 71 3.2 Descripción de las fases 72 3.2.1 Definición del alcance 72 3.2.2 Recolección de información 73 3.2.3 Construcción de la guía metodológica 74 3.2.4 Aplicabilidad y destrezas subyacentes 75 3.2.5 Generación de espacios de opinión 75 3.3 Tipo de Investigación 76 3.3.1 Aplicada 76 3.3.2 Documental 76 3.4 Clasificación de las Fuentes 76 3.4.1 Fuentes primarias 76 3.4.2 Fuentes secundarias 77 3.5 Instrumentos de Recolección de Datos 77 3.5.1 Encuesta 77 3.5.2 Población 78 3.5.3 Muestra 78 3.5.4 Validación del instrumento 78 3.5.5 Variables a considerar 79 4. DESARROLLO DE LAGUIA METODOLOGICA SOBRE LAS TECNICAS Y HERRAMIENTAS EN SOFTWARE LIBRE, APLICADAS A LA INVESTIGACIÓN DE LA INFORMATICA FORENSE 80 4.1 Fases De La Investigación En La Informática Forense 80 4.1.1 Estudio preliminar 82 4.1.2 Recolección de la evidencia digital 85 4.1.3 Análisis de la evidencia digital 87 4.1.4 Presentación del informe final 90 4.2 La evidencia Digital 92 4.2.1 Ciclo de Vida de la Evidencia Digital 93 4.2.2 Clasificación de la Evidencia Digital 94 4.2.3 Manejo de la Evidencia Digital 96 4.2.4 Cadena de Custodia 98 4.2.5 Protección de la Evidencia Digital 100 4.3 Aspectos técnicos de la informática forense 102 4.3.1 Medios de Almacenamientos 102 4.3.1.1 Discos Duros 102 4.3.1.2 Discos y memorias extraíbles 105 4.3.1.3 Memoria RAM 106 4.3.1.4 Memoria Cache 107 4.3.1.5 Sistemas de Archivos 108 4.3.1.5.1 FAT 109 4.3.1.5.2 NTFS 110 4.3.1.5.3 EXTFS 110 4.3.2 Aspectos técnicos en la recolección de evidencia 112 4.3.2.1 Archivo de Registro 112 4.3.2.2 Archivos de Cache 113 4.3.2.3 Partición SWAP 114 4.3.2.5 Archivos Temporales 115 4.3.3.5 Espacio no asignado en disco 116 4.3.3.6 Espacio File Slack 116 4.3.4 Recolección de evidencias Entorno Windows 117 4.3.4.1 Archivo de Registro de sucesos 117 4.3.4.2 Papelera de Reciclaje 119 4.3.4.3 Regedit 120 4.3.4.4 Volume Shadow Copy 121 4.3.4.5 Función Prefetch/Superfetch 122 4.3.4.6 Archivos de Paginación 123 4.3.5 Recolección de evidencias entornos Unix/Linux 124 4.3.5.1 Archivos Logs 124 4.3.5.2 Historial terminal de comandos 126 4.3.5.3 Captura de memoria 126 4.3.5.4 Archivos Passwd y Shadown 127 4.3.6 Recolección de evidencias entorno de Red 129 4.3.6.1 Analizadores de trafico de red 129 4.3.6.2 Dirección MAC 131 4.3.6.3 Rastreo de Direcciones IP 132 4.3.6.4 Cache ARP 133 4.3.6.5 Sistema de detección de Intrusos IDS 134 4.3.6.6 Análisis de rootkits 136 4.4 Herramientas de Investigación Forense 137 4.4.1 Herramientas para la recolección y análisis de evidencia digital 137 4.4.1.1 DD (Duplicate Disk) 139 4.4.1.2 AIR 140 4.4.1.3 FTK Imager 140 4.4.1.4 Coroner's Toolkit, TCT 143 4.4.1.5 Foremost 147 4.4.1.6 Hachoir-Metadata 152 4.4.1.7 ExifTool 154 4.4.1.8 Scalpel 157 4.4.1.9 Ddrescue 159 4.4.2 Herramientas para el análisis de Evidencia Digital 160 4.4.2.1 The Sluth Kit 160 4.4.2.2 Autopsy 162 4.4.2.3 Pyflag 165 4.4.2.4 Galleta 166 4.4.2.5 Pasco 167 4.4.2.6 Grissom Analyzer 167 4.4.2.7 Regripper 168 4.4.3 Herramientas de red 168 4.4.3.1 Snort 169 4.4.3.2 Nmap 169 4.4.3.3 Wireshark 171 4.4.3.4 Ethereal 171 4.4.3.5 Capsa 172 4.4.3.6 ChkRootKit 172 4.4.3.7 Network Miner 172 4.4.4 Distribuciones Forenses GNU/LINUX 173 4.4.4.1 Linux Helix Forensic 173 4.4.4.2 Fire Linux 175 4.4.4.3 Linux Backtrack 176 4.4.4.4 Linux CAINE(Computer Aided INvestigative Environment) 177 4.4.4.5 Deft Linux 180 4.4.5 Herramientas de Hardware 181 4.5 Elaboración del Informe final 184 4.5.1 Informe Ejecutivo 185 4.5.2 Informe Técnico 186 5 VALIDACION DE LA PROPUESTAS 189 5.1 Aplicación de la Guía metodológica 189 5.1.1 Fase de Estudio Preliminar 189 5.1.2 Fase de Recolección 196 5.1.3 Fase de Análisis de la Evidencia Digital 199 5.1.4 Fase de Elaboración del Informe Final 204 6 RESULTADOS DE LA VALIDACIÓN DE LA PROPUESTA 210 CONCLUSIONES 213 RECOMENDACIONES 216 GLOSARIO 217 REFERENCIAS 225 BIBLIOGRAFIA 229 ANEXOS 232 Maestría The main objective of this thesis is the creation of a methodological guide on the techniques and tools of free software, applied forensic computing, as a response to the need for what is intended is to create a frame of reference for researchers in this new science have procedural guidelines when acting; It is not about creating a straitjacket or a trend of exclusive use of action, but on the contrary, it is intended to create new alternatives that provide correct answers when conducting forensic analysis on compromised computer systems. In this work, as much information as possible on the subject will be compiled, always visualizing it as a tool for use and help for all those who have included their professional interest in responding to cases of system violations, and will be open to new updates and / or or contributions that readers can make to it. 2020-06-26T21:34:52Z 2020-06-26T21:34:52Z 2011-06 2022-03-14T20:13:56Z 2022-03-14T20:13:56Z info:eu-repo/semantics/masterThesis Tesis http://purl.org/coar/resource_type/c_bdcc info:eu-repo/semantics/acceptedVersion http://purl.org/redcol/resource_type/TM http://hdl.handle.net/20.500.12749/3460 instname:Universidad Autónoma de Bucaramanga - UNAB reponame:Repositorio Institucional UNAB http://biblioteca-repositorio.clacso.edu.ar/handle/CLACSO/22378 spa Díaz Jurado, Gerardo, Usme Acuña, Jaime (2011). Guía metodológica sobre las técnicas y herramientas de software libre aplicadas a la informática forense. Bucaramanga (Colombia) : Universidad Autónoma de Bucaramanga UNAB, Universitat Oberta de Catalunya UOC [1] CSI. Computer Security Institute. http://www.gocsi.com/. [2] http://www.criptored.upm.es/guiateoria/gt_m180b.htm, consultado 03 de abril de 2011. [3]http://pegasus.javeriana.edu.co/~edigital/Docs/Informatica%20Forense/Informatica%20Forense%20v0.6.pdf, consultado el 04 de abril de 2011 [4] Administración de sistemas operativos en red¨ Miguel Colobran Huguet, España, Primera edición, Capítulo VII, pp 256, Editorial UOC [5] Peritajes informáticos, Emilio del Peso Navarro, Segunda Edición, Editorial Ediciones Díaz de Santos Madrid España, Capitulo III, pg, 161. [6] Fundamentos de tecnología documental, Carlos Manuel Da Costa Carballo, Primera Edición, Editorial Complutense, Madrid España, Capitulo I, pg 184, [7] Seguridad de la información, Javier Areitio, Primera Edición, Editorial Clara María de la Fuente Roja Madrid España, Capitulo 4, pagina, 172 [8] Seguridad informática, Purificación Aguilera, Primera Edición, Editorial Editex, Madrid España, Capítulo IV, página 114 [9] Diccionario de internet, Primera Edición, Editorial Complutense, Madrid España, pagina 415. [10] http://www.isecauditors.com/es/formacion-cissp.html. [11] Avances en criptografía y seguridad de la información, Benjamín Ramos Álvarez, Primera Edición, Editorial Díaz de Santos, Colombia, Capítulo III, Página, 294 – 300 [12] http://www.isecauditors.com/downloads/present/hm2k4.pdf, consultado el 23 de abril de 2011 [13] http://psicologiajuridica.org/psj181.html, consultado el 15 de abril de 2011 [14] Sobre software libre, Vicente Matellan Olivera, Tercera Edición, Editorial Dykinson S,L, Madrid España, pagina 328-341 [15] Administración de sistemas operativos en red, Miguel Colobran Huguet, Primera Edición, Editorial UOC, Barcelona España, pagina 254-269 [16]http://www.secretariasenado.gov.co/senado/basedoc/ley/2009 /ley_1273_2009.html, consultado 24 de abril de 2011 [17] http://ticss.bligoo.com/content/view/180667/EL-CICLO-DE-VIDA-DE-UN-PROYECTO-DE-TIC-s.html, consultado abril 25 de 2011 [18] http://es.scribd.com/doc/14985751/Tipos-de-investigacion consultado abril 25 de 2011 [19] http://html.rincondelvago.com/investigacion-documental_1.html consultado abril 25 de 2011 [20] http://html.rincondelvago.com/fuentes-de-informacion_2.html, consultado abril 27 de 2011 [21] http://www.monografias.com/trabajos18/recoleccion-de-datos/recoleccion-de-datos.shtml, consultado abril 28 de 2011 [22]http://www.une.edu.ve/postgrado/intranet/investigacion_virtual/estructura_proyecto.htm#POBLACIÓN, consultado abril 29 de 2011 [23]. Robbins, Judd. "An Explanation of Computer Forensics." The Computer Forensics Expert Witness Network. 12 Nov 2006. [24] http://www.dragonjar.org/metodologia-basica-de-analisis-forense-parte-1-de-4.xhtml [25]Reginald Morrish,. The Police and Crime-Detection Today. London: Oxford University Press, 1940. [26] Cano Martínez Jeimy José, Mosquera González José Alejandro, Certain Jaramillo Andrés Felipe. Evidencia Digital: contexto, situación e implicaciones nacionales. Abril de 2005. [27] (ACPO E-Crime Working Group, Official release version 4.0) http://7safe.com/computer_forensics.htmL [28] (International Organization of Computer Evidence, 2006) http://www.ioce.org/core.php?ID=17. [29] http://www.misrespuestas.com/que-es-cache-del-sistema.html [30]. Vitto Amato, Cisco Networking, Guía del primer año. Primera edición año 2005. [31]. Alonso Eduardo Caballero Quezada.CAINE & DEFT Distribuciones Forenses GNU/Linux. [32]. Universidad Autónoma de México www.seguridad.unam.mx/eventos/reto/ [33]. comunidad.dragonjar.org/.../reto-forense-de-la-comunidad-dragonjar-8972/  Avances en criptografía y seguridad de la información, Benjamín Ramos Álvarez, Primera Edición.  B Carrier y E Spafford. “Getting Physical with the Digital Investigation Process”, International Journal of Digital Evidence Fall 2003, Volume 2, Issue 2.  B Carrier, “The Sleuthkit & Autopsy”. http://www.sleuthkit.org/. Última consulta: Febrero de 2008. Knoppix en español. KNOPPIX (2008). http://www.knoppix-es.org/. Última consulta: Febrero de 2008.  Diccionario de internet, Primera Edición, Editorial Complutense  Dirección y gestión de los sistemas de información, Carmen de Pablo Herederos, Segunda Edición  Fundamentos de tecnología documental, Carlos Manuel Da Costa Carballo, Primera Edición.  Incident Response”, Special Publication 800-86, Computer Security Division Information Technology Laboratory, National Institute of Standards and Technology, Gaithersburg, MD August 2006. http://csrc.nist.gov/publications/nistpubs/800-86/SP800-86.pdf. Última consulta: Febrero de 2008  http://www.utica.edu/academic/institutes/ecii/publications/articles/A0AC5A7AFB6C- 325D-BF515A44FDEE7459.pdf. Última consulta: Febrero de 2008. Kent, S Chevalier, T Grance and H Dang. “ Guide to Integrating Forensics into  http://www.criptored.upm.es/guiateoria/gt_m335a.htm. Última consulta: Febrero de 2008. EnCase Forensic. Guideance Software (2007). http://www.guidancesoftware.com/p roducts/ef_index.asp. Última consulta: Febrero de 2008  http://www.criptored.upm.es/guiateoria/gt_m180b.htm  http://pegasus.javeriana.edu.co/~edigital/Docs/Informatica%20Forense/Informatica%20Forense%20v0.6.pdf  http://www.isecauditors.com/downloads/present/hm2k4.pdf  http://psicologiajuridica.org/psj181.html  http://psicologiajuridica.org/psj181.html  http://www.isecauditors.com/downloads/present/hm2k4.pdf  http://www.acis.org.co/fileadmin/Base_de_Conocimiento/VI_JornadaSeguridad/JeimyCano_VIJNSI.pdf  http://www.secretariasenado.gov.co/senado/basedoc/ley/2009/ley_1273_2009.html  M López. “Análisis Forense Digital”. Universidad Nacional de Educación a Distancia. Junio de 2006. España.  Peritajes informáticos, Emilio del Peso Navarro, Segunda Edición, Madrid España.  The Forensic Toolkit. Foundstone Network Security (2007). http://www.found stone.com/us/resources/proddesc/forensictoolkit.htm. Última consulta: Febrero de 2008. B Carrier, “The Sleuthkit & Autopsy”. http://www.sleuthkit.org/. Última consulta: Febrero de 2008. Knoppix en español. KNOPPIX (2008). http://www.knoppix-es.org/. Última consulta: Febrero de 2008.  Seguridad de la información, Javier Areitio, Primera Edición, Editorial Clara María de la Fuente Roja  Seguridad informática, Purificación Aguilera, Primera Edición, Editorial Editex http://creativecommons.org/licenses/by-nc-nd/2.5/co/ Abierto (Texto Completo) info:eu-repo/semantics/openAccess http://purl.org/coar/access_right/c_abf2 Atribución-NoComercial-SinDerivadas 2.5 Colombia application/pdf application/pdf application/pdf application/octet-stream Bucaramanga (Colombia) Universidad Autónoma de Bucaramanga UNAB Facultad Ingeniería Maestría en Software Libre
spellingShingle Systems Engineering
Computer crimes
Data protection
Computer security
Research
Ingeniería de sistemas
Delitos por computador
Protección de datos
Seguridad en computadores
Investigaciones
Guía metodológica
Análisis forenses
Sistemas informáticos vulnerados
Díaz Jurado, Gerardo
Usme Acuña, Jaime
Guía metodológica sobre las técnicas y herramientas de software libre, aplicadas a la informática forense
title Guía metodológica sobre las técnicas y herramientas de software libre, aplicadas a la informática forense
title_full Guía metodológica sobre las técnicas y herramientas de software libre, aplicadas a la informática forense
title_fullStr Guía metodológica sobre las técnicas y herramientas de software libre, aplicadas a la informática forense
title_full_unstemmed Guía metodológica sobre las técnicas y herramientas de software libre, aplicadas a la informática forense
title_short Guía metodológica sobre las técnicas y herramientas de software libre, aplicadas a la informática forense
title_sort guía metodológica sobre las técnicas y herramientas de software libre, aplicadas a la informática forense
topic Systems Engineering
Computer crimes
Data protection
Computer security
Research
Ingeniería de sistemas
Delitos por computador
Protección de datos
Seguridad en computadores
Investigaciones
Guía metodológica
Análisis forenses
Sistemas informáticos vulnerados
url http://hdl.handle.net/20.500.12749/3460
http://biblioteca-repositorio.clacso.edu.ar/handle/CLACSO/22378