2.1.2 DS/Introducción a la ciencia forense digital

Temas:
Core Tier1

• Introducción
  1. Definición
  2. Límites y tipos de herramientas (código abierto versus código cerrado)
• Cuestiones legales
  1. Derecho a la privacidad
  2. Cuarta y Quinta Enmiendas
  3. Protección de claves de cifrado según la Quinta Enmienda
  4. Tipos de autoridad legal (consentimiento del propietario, orden de registro, FISA, Título III (escuchas telefónicas), abandono, circunstancias exigentes, a simple vista, etc.)
  5. Protección contra procesos legales (por ejemplo, información del suscriptor del ISP mediante citación, datos transaccionales del servidor de correo electrónico de una orden judicial 2703(d), contenido completo mediante orden de registro, etc.)
  6. Solicitud legal de preservación de evidencia digital (por ejemplo, a través de una carta de preservación 2703(f))
  7. Declaraciones juradas, testimonios y declaraciones
• Herramientas forenses digitales
  1. Tipos
  2. Herramientas centradas en artefactos frente a herramientas todo en uno
  3. Requisitos
  4. Limitaciones
• Proceso de investigación
  1. Alertas
  2. Identificación de evidencia
  3. Recopilación y conservación de pruebas.
  4. Cronogramas, informes, cadena de custodia
  5. Autenticación de pruebas
• Adquisición y preservación de pruebas
  1. Desconexión versus clasificación
  2. Bloqueo de escritura
  3. Medios de destino preparados forensemente
  4. Procedimientos de imagen
  5. Adquisición de evidencia volátil
  6. Análisis forense en vivo
  7. Cadena de custodia
• Análisis de pruebas
  1. Fuentes de evidencia digital
  2. Archivos eliminados y no eliminados, archivos temporales
  3. Metadatos
  4. Imprimir archivos de cola
  5. Espacio flojo
  6. Archivos de hibernación
  7. registro de windows
  8. Historial del navegador
  9. Archivos de registro
  10. Sistemas de archivos
  11. Recuperación de archivo
  12. talla de archivos
• Presentación de resultados
  1. Análisis de línea de tiempo
  2. Atribución
  3. Explicaciones simples versus explicaciones técnicas.
  4. Resúmenes ejecutivos
  5. Informes detallados
  6. Limitaciones
• Autenticación de evidencia
  1. Algoritmos hash (MD5, SHA-1, etc.)
  2. Hash de medios completos frente a archivos individuales
  3. Hash de verificación antes y después del examen
• Informes, respuesta y manejo de incidentes
  1. Estructuras de informes
  2. Detección y análisis de incidentes
  3. Contención, erradicación y recuperación
  4. Actividades posteriores al incidente
  5. El intercambio de información
• Forense móvil
  1. Tecnologías inalámbricas
  2. Tecnología de dispositivos móviles
  3. Recolección/Aislamiento de dispositivo móvil
  4. Sistemas operativos (SO) móviles y aplicaciones
  5. Artefacto móvil

Objetivos de Aprendizaje:
Core-Tier1:

1. Explicar los conceptos de autenticación, autorización, control de acceso e integridad de datos [Usar]
2. Describir qué es una investigación digital, las fuentes de evidencia digital y las limitaciones de la ciencia forense [Usar]
3. Compare y contraste una variedad de herramientas forenses [Usar]
4. Explicar las diversas técnicas de autenticación y sus fortalezas y debilidades [Usar]
5. Explicar los distintos ataques posibles a las contraseñas [Usar]