Digital Forensics CIASFI  Congreso Iberoamericano de Auditoría, Seguridad y Forensia Informática 22-24 Abril del 2004 Roge...
Presentación <ul><li>Ingeniero de Sistemas(UNI, Perú), Master en Seguridad en las Tecnologías de la Información (Ramón Lll...
Definiciones 1 <ul><li>RAE U 1992. (Pag:478,3)  http://www.rae.es </li></ul><ul><li>RAE U 1992. (Pag:655,1)  http://www.ra...
Definiciones 2 <ul><li>RAE U 1992. (Pag:1119,1)  http://www.rae.es </li></ul><ul><li>RAE U 1992. (Pag:660,2)  http://www.r...
Definiciones 3 <ul><li>CERT:  Computer Emergency Response Team </li></ul><ul><li>IRT: Incident Response Team </li></ul><ul...
Para qué? <ul><li>Cómo entraron </li></ul><ul><li>Cuándo </li></ul><ul><li>Para qué </li></ul><ul><li>Quién </li></ul><ul>...
Qué no cubre? <ul><li>Seguimiento, captura o identificar a perpetradores </li></ul><ul><li>Negociar con cuerpos policiales...
Escenarios <ul><li>Entornos donde se podría realizar investigaciones: </li></ul><ul><ul><li>Intrusión a sistemas informáti...
El proceso: elementos Incidente CERT Labs Cuerpo policial Proceso judicial Peritos Legal Sw / Hw Seguros
El proceso: actual <ul><li>Técnico </li></ul><ul><ul><li>Sistemas informáticos: dinámicos, grandes, distribuidos, etc. </l...
El proceso: cómo debe ser cuando sucede <ul><li>Determinar origen y tamaño de intrusión </li></ul><ul><li>Protección de in...
El proceso: ser  proactivo <ul><li>Políticas de seguridad </li></ul><ul><li>Plan de respuesta para incidentes de seguridad...
El forense informático: requerimientos 1 <ul><li>1/3 Técnico: </li></ul><ul><ul><li>Conocimiento técnico </li></ul></ul><u...
<ul><li>1/3 Legal </li></ul><ul><ul><li>Conocimiento de aspectos legales </li></ul></ul><ul><ul><li>España es diferente: L...
<ul><li>Los cuatro principios, surge de la definición de  computer forensics </li></ul>El forense informático: proceso inv...
El forense informático: lemas <ul><li>Rapidez es la esencia, pero no llegar a extremos </li></ul><ul><ul><li>Volatilidad d...
El proceso: (1) Identificar <ul><li>Qué evidencia hay </li></ul><ul><li>Dónde está </li></ul><ul><li>Cómo está almacenada ...
El proceso: (2) Preservar <ul><li>Etapa crítica </li></ul><ul><li>Orden de volatilidad </li></ul><ul><li>Cadena de custodi...
El proceso: (2) Preservar Volatilidad de evidencia <ul><li>Es evidencia que desaparecerá pronto: información de conexiones...
<ul><li>“ Es imposible conocer simultáneamente la posición y velocidad del electrón, y por tanto es imposible determinar s...
El proceso: (2) Preservar:  Cadena de custodia <ul><li>Registro de todas las operaciones sobre la evidencia </li></ul><ul>...
El proceso: (2) Preservar:  diagrama Document The Scene Collect Volatiles? Record Volatiles Being Safe? Image Drives? Powe...
El proceso: (2) Preservando <ul><li>Usar Toolkit portable, online vs. Offline, en presencia de tercera parte legal </li></...
El proceso: (3) Analizar <ul><li>Extrae: Puede dar  algo  no humanamente legible </li></ul><ul><li>Procesa: Lo hace humana...
El proceso: (3) Analizando <ul><li>Estado de arte del análisis </li></ul><ul><li>Usar metodología:  receta de cocina  + ex...
El proceso: (3) Analizar:  resultados <ul><li>Gestión de versiones de documentos/bitácoras </li></ul><ul><li>Reconstrucció...
El proceso: (4) Presentar <ul><li>Implica la presentación a: </li></ul><ul><ul><li>A la administración </li></ul></ul><ul>...
El proceso para el cuerpo policial Fase 3 Fase 2 Fase 1 <ul><li>Denuncia – Conocimiento delito público </li></ul><ul><li>R...
Iniciativas 1 <ul><li>Buenas prácticas para Informática Forense, herramientas </li></ul><ul><li>Dar soporte a todos los in...
Iniciativas 2 <ul><li>Comunidad </li></ul><ul><ul><li>Honeynet in Spanish http://his.sourceforge.net  (Todo sobre honeynet...
Referencias 1 <ul><li>Ley Especial contra Delitos Informáticos (Venezuela) http://www.mct.gov.ve/leyes/lsdi.htm </li></ul>...
Referencias 2 <ul><li>Dan Farmer http://www.fish.com/security </li></ul><ul><li>Wietse Venema http://www.porcupine.org/for...
Referencias 3 <ul><li>Asociaciones Internacionales sobre Computer Forensics http://www.iacis.com ,  http://www.htcia.org <...
Agradecimientos Guardia Civil Grupo de Delitos Telemáticos Mossos d’Esquadra Unitat de Delictes en Tecnologies de la Infor...
Upcoming SlideShare
Loading in...5
×

Digital Forensics

1,353

Published on

0 Comments
5 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,353
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
0
Comments
0
Likes
5
Embeds 0
No embeds

No notes for slide

Digital Forensics

  1. 1. Digital Forensics CIASFI Congreso Iberoamericano de Auditoría, Seguridad y Forensia Informática 22-24 Abril del 2004 Roger Carhuatocto Rcarhuatocto[at]escert.upc.es (v1.4)
  2. 2. Presentación <ul><li>Ingeniero de Sistemas(UNI, Perú), Master en Seguridad en las Tecnologías de la Información (Ramón Lllull, España), Consultor Independiente especializado en Seguridad Informática. </li></ul><ul><li>Colaborador: </li></ul><ul><ul><li>Universidad Politécnica de Catalunya (UPC): Proyectos I+D </li></ul></ul><ul><ul><li>esCERT-UPC: Gestión de Incidentes, Forensics y Formación </li></ul></ul><ul><ul><li>Proyectos Independientes Opensource/FreeSoftware en www.intix.info </li></ul></ul><ul><ul><ul><li>INTIX-PKI: Distro Linux con PKI </li></ul></ul></ul><ul><ul><ul><li>µ INTIX-PKI: Distro Linux con PKI Minimalístico </li></ul></ul></ul><ul><ul><ul><li>CP4DF: Código de prácticas para Digital Forensics </li></ul></ul></ul><ul><ul><ul><li>Revista Mozilla Links, en temas de seguridad </li></ul></ul></ul>
  3. 3. Definiciones 1 <ul><li>RAE U 1992. (Pag:478,3) http://www.rae.es </li></ul><ul><li>RAE U 1992. (Pag:655,1) http://www.rae.es </li></ul>
  4. 4. Definiciones 2 <ul><li>RAE U 1992. (Pag:1119,1) http://www.rae.es </li></ul><ul><li>RAE U 1992. (Pag:660,2) http://www.rae.es </li></ul>
  5. 5. Definiciones 3 <ul><li>CERT: Computer Emergency Response Team </li></ul><ul><li>IRT: Incident Response Team </li></ul><ul><li>Forensic computing </li></ul><ul><ul><li>Proceso de identificar, preservar, analizar y presentar evidencia digital de manera que sea legalmente aceptable. Sgt. Rodney McKemmish – Autralian Institute of Criminology </li></ul></ul><ul><li>Informática forense </li></ul><ul><li>Forensic computing </li></ul><ul><li>Computer forensics </li></ul><ul><li>Digital forensics </li></ul><ul><ul><li>Sólo difiere en el tema tecnológico </li></ul></ul><ul><ul><li>Medios o dispositivos electrónicos, comunicaciones </li></ul></ul><ul><ul><li>Se busca pistas diferentes </li></ul></ul>
  6. 6. Para qué? <ul><li>Cómo entraron </li></ul><ul><li>Cuándo </li></ul><ul><li>Para qué </li></ul><ul><li>Quién </li></ul><ul><li>Costo de los daños </li></ul><ul><li>Soporte amplio al incidente </li></ul><ul><li>Requerimiento legal </li></ul><ul><li>Soporte al proceso judicial </li></ul><ul><li>“ Modus operandi”, modos de operar de diferentes puntos de vista </li></ul>
  7. 7. Qué no cubre? <ul><li>Seguimiento, captura o identificar a perpetradores </li></ul><ul><li>Negociar con cuerpos policiales, juzgados, TELCOs </li></ul>
  8. 8. Escenarios <ul><li>Entornos donde se podría realizar investigaciones: </li></ul><ul><ul><li>Intrusión a sistemas informáticos </li></ul></ul><ul><ul><ul><li>Web defacement </li></ul></ul></ul><ul><ul><ul><li>Uso no autorizado de equipo informático coorporativo </li></ul></ul></ul><ul><ul><ul><li>Wireless? </li></ul></ul></ul><ul><ul><li>Contenidos ilícitos </li></ul></ul><ul><ul><ul><li>Pornografía infantil: CDs, P2P, Internet </li></ul></ul></ul><ul><ul><ul><li>Amenzas </li></ul></ul></ul><ul><ul><li>Cualquier crimen físico en el que se implique infraestructura, dispositivos que trata contenido digital, no sólo PCs </li></ul></ul><ul><ul><ul><li>Fraudes </li></ul></ul></ul><ul><ul><ul><li>Estafas </li></ul></ul></ul><ul><ul><ul><li>Propiedad intelectual </li></ul></ul></ul><ul><ul><ul><li>Etc. </li></ul></ul></ul>
  9. 9. El proceso: elementos Incidente CERT Labs Cuerpo policial Proceso judicial Peritos Legal Sw / Hw Seguros
  10. 10. El proceso: actual <ul><li>Técnico </li></ul><ul><ul><li>Sistemas informáticos: dinámicos, grandes, distribuidos, etc. </li></ul></ul><ul><ul><li>Se puede ocultar información </li></ul></ul><ul><ul><li>Muy poco conocimiento técnico, la tecnología avanza </li></ul></ul><ul><ul><li>Herramientas existen pero no son globales: opensource, privadas </li></ul></ul><ul><ul><li>Obtener información es fácil, no el análisis </li></ul></ul><ul><ul><li>Almacenamiento </li></ul></ul><ul><li>Legal </li></ul><ul><ul><li>Tecnología avanza y se adapta, leyes cambian lentamente </li></ul></ul><ul><ul><li>Procesos judiciales son lentos en comparación con cambios en la Tecnología </li></ul></ul><ul><ul><li>Protocolo. La presentación de la evidencia debe reunir características especiales </li></ul></ul><ul><ul><li>Sustentar el informe sobre evidencia admitida </li></ul></ul><ul><li>Organizacional </li></ul><ul><ul><li>Falta de preparación de organizaciones contra intrusiones y su operativa policial, sólo ve a corto plazo: reactivo y recuperación </li></ul></ul><ul><ul><li>Resultado ante incidente: descoordinación, evidencia perdida, pérdida de tiempo, etc. </li></ul></ul>
  11. 11. El proceso: cómo debe ser cuando sucede <ul><li>Determinar origen y tamaño de intrusión </li></ul><ul><li>Protección de información sensitiva en sistemas </li></ul><ul><li>Protección de los sistemas, redes y su capacidad para seguir funcionado </li></ul><ul><li>Recuperación de sistemas </li></ul><ul><li>Colección de información de manera consistente con TERCERA parte legal </li></ul><ul><li>Proveer soporte a las investigaciones </li></ul>
  12. 12. El proceso: ser proactivo <ul><li>Políticas de seguridad </li></ul><ul><li>Plan de respuesta para incidentes de seguridad </li></ul><ul><li>Plan de informática forense </li></ul><ul><li>Plan para detección de incidentes </li></ul><ul><li>Determinar equipo con recursos y autoridad para actuar </li></ul><ul><li>Implementar procedimientos para diferentes situaciones y amenazas </li></ul><ul><li>Con regularidad revisar políticas y procedimientos </li></ul>Proteger Preservar Notificar <ul><li>Sistemas </li></ul><ul><li>Información </li></ul><ul><li>Contener intrusión </li></ul><ul><li>Sistemas y logs aceptablemente legal </li></ul><ul><li>A tu CERT </li></ul><ul><li>Administración </li></ul><ul><li>CERT </li></ul><ul><li>Cuerpo Policial </li></ul>
  13. 13. El forense informático: requerimientos 1 <ul><li>1/3 Técnico: </li></ul><ul><ul><li>Conocimiento técnico </li></ul></ul><ul><ul><li>Implicaciones técnicas de acciones </li></ul></ul><ul><ul><li>Comprensión de cómo la información puede ser modificada </li></ul></ul><ul><ul><li>Perspicaz </li></ul></ul><ul><ul><li>Mente abierta y taimado </li></ul></ul><ul><ul><li>Ético </li></ul></ul><ul><ul><li>Continua formación </li></ul></ul><ul><ul><li>Conocimiento de historia: casos pasados, vulnerabilidades, etc. </li></ul></ul><ul><ul><li>Uso de fuentes de datos redundantes </li></ul></ul>
  14. 14. <ul><li>1/3 Legal </li></ul><ul><ul><li>Conocimiento de aspectos legales </li></ul></ul><ul><ul><li>España es diferente: LOPD, LSSI, ?? </li></ul></ul><ul><ul><li>Protocolo de gestión de evidencia </li></ul></ul>El forense informático: requerimientos 2 Admisible Auténtico Completo Confiable Creíble <ul><li>1/3 Operacional, no todos los desafíos son de naturaleza tecnológica </li></ul><ul><ul><li>Gestión de recursos </li></ul></ul><ul><ul><li>Políticas y procedimientos </li></ul></ul><ul><ul><li>Entrenamiento </li></ul></ul><ul><ul><li>Cambios organizacionales </li></ul></ul>
  15. 15. <ul><li>Los cuatro principios, surge de la definición de computer forensics </li></ul>El forense informático: proceso investigación 4 Presentar 3 Analizar 2 Preservar 1 Identificar
  16. 16. El forense informático: lemas <ul><li>Rapidez es la esencia, pero no llegar a extremos </li></ul><ul><ul><li>Volatilidad de la evidencia </li></ul></ul><ul><li>Cualquier cosa que se hace a un sistema lo altera </li></ul><ul><ul><li>Principio de Incertidumbre de W. Heinsenberg - 1927 </li></ul></ul><ul><li>Nunca confiar en el sistema </li></ul><ul><ul><li>Rootkits </li></ul></ul><ul><li>Considerar siempre tus políticas </li></ul><ul><li>Admitir las fallas </li></ul><ul><li>Preparado para sorpresas </li></ul><ul><li>Documentar </li></ul>
  17. 17. El proceso: (1) Identificar <ul><li>Qué evidencia hay </li></ul><ul><li>Dónde está </li></ul><ul><li>Cómo está almacenada </li></ul><ul><li>El objetivo: determinar que proceso será empleado para facilitar la recuperación </li></ul><ul><li>Ejm.: </li></ul><ul><ul><li>Cualquier dispositivo de almacenar información como: móvil, PC, agendas electrónicas, smart cards, etc. </li></ul></ul>4 3 2 1
  18. 18. El proceso: (2) Preservar <ul><li>Etapa crítica </li></ul><ul><li>Orden de volatilidad </li></ul><ul><li>Cadena de custodia </li></ul><ul><li>Evitar cambios posibles y si no se logra, registrarlo y justificarlo </li></ul>4 3 2 1
  19. 19. El proceso: (2) Preservar Volatilidad de evidencia <ul><li>Es evidencia que desaparecerá pronto: información de conexiones activas de red o el contenido actual de memoria volátil </li></ul><ul><li>De Farmer & Venema – http://www.porcupine.org </li></ul><ul><ul><li>Registers, peripheral memory, caches </li></ul></ul><ul><ul><li>Memory (virtual, physical) </li></ul></ul><ul><ul><li>Network state </li></ul></ul><ul><ul><li>Running processes </li></ul></ul><ul><ul><li>Disks, floppies, tapes </li></ul></ul><ul><ul><li>CD/ROM, printouts </li></ul></ul>4 3 2 1
  20. 20. <ul><li>“ Es imposible conocer simultáneamente la posición y velocidad del electrón, y por tanto es imposible determinar su trayectoria. Cuanto mayor sea la exactitud con la que se conozca la posición, mayor será el error de velocidad, y viceversa…” </li></ul><ul><li>En la informática forense: </li></ul><ul><ul><li>Examinar o coleccionar una parte del sistema alterará otros componentes </li></ul></ul><ul><ul><li>Es imposible capturar completamente un sistema completo en un punto en el tiempo </li></ul></ul><ul><li>Si no se puede evitar el cambio, entonces documentarlo y justificarlo </li></ul>El proceso: (2) Preservar: Principio de Heinsenberg 4 3 2 1
  21. 21. El proceso: (2) Preservar: Cadena de custodia <ul><li>Registro de todas las operaciones sobre la evidencia </li></ul><ul><li>Disponible </li></ul><ul><li>El objetivo es determinar quién accedió a una pieza de evidencia, cuándo y para qué </li></ul><ul><li>El documento de la cadena de custodia es válido desde el momento en que se considera la información como evidencia potencial y debería continuar en la corte/proceso judicial </li></ul>Ciclo de vida de la Evidencia Cadena de custodia 4 3 2 1 4 Presentar 3 Analizar 2 Preservar 1 Identificar
  22. 22. El proceso: (2) Preservar: diagrama Document The Scene Collect Volatiles? Record Volatiles Being Safe? Image Drives? Power Off What Was The point?  Make Images Back @ lab, Analyze Copies, Reconstruct Computers, Analyze “ artifacts” Investigate online, run “ last”, etc. NO NO NO YES YES YES 4 3 2 1 Mossos d’Esquadra Unitat de Delictes en Tecnologies de la Informació
  23. 23. El proceso: (2) Preservando <ul><li>Usar Toolkit portable, online vs. Offline, en presencia de tercera parte legal </li></ul><ul><li>1. Copiar </li></ul><ul><li>2. Generar checksums de copias y originales </li></ul><ul><li>3. Verificar checksums </li></ul><ul><li>4. Time stamping </li></ul><ul><ul><li>Estampar sello de tiempo a checksums </li></ul></ul><ul><ul><li>Fecha checksum = Fecha de copia = Fecha documento </li></ul></ul><ul><li>5. Documente: quién, dónde, cuándo, por qué </li></ul><ul><li>6. Dar copia a custodio </li></ul><ul><ul><li>Custodio da copias a otros investigadores </li></ul></ul><ul><ul><li>Documenta cadena de custodia </li></ul></ul><ul><ul><li>Pocos custodios, pocos testificantes </li></ul></ul>4 3 2 1
  24. 24. El proceso: (3) Analizar <ul><li>Extrae: Puede dar algo no humanamente legible </li></ul><ul><li>Procesa: Lo hace humanamente legible </li></ul><ul><li>Interpreta: Requiere un profundo entendimiento de cómo las cosas están relacionadas </li></ul>4 3 2 1
  25. 25. El proceso: (3) Analizando <ul><li>Estado de arte del análisis </li></ul><ul><li>Usar metodología: receta de cocina + experiencia </li></ul><ul><li>Recomendaciones: </li></ul><ul><ul><li>Correlacionar logs: por IP, por tiempo </li></ul></ul><ul><ul><li>Sincronización: </li></ul></ul><ul><ul><ul><li>Tiempo de sincronización </li></ul></ul></ul><ul><ul><ul><li>Tiempo de zona </li></ul></ul></ul><ul><ul><ul><li>Retraso de eventos </li></ul></ul></ul><ul><ul><ul><li>Orden cronológico de eventos </li></ul></ul></ul><ul><ul><li>Los logs no son siempre fiables: son editables y depende de la integridad del programa que crea los logs, y rootkit? </li></ul></ul><ul><ul><li>Si tienes Host IDS, entonces realizar pruebas de integridad de ficheros </li></ul></ul>4 3 2 1
  26. 26. El proceso: (3) Analizar: resultados <ul><li>Gestión de versiones de documentos/bitácoras </li></ul><ul><li>Reconstrucción cronológica de eventos </li></ul><ul><li>Diagramas: estático y dinámico </li></ul>4 3 2 1
  27. 27. El proceso: (4) Presentar <ul><li>Implica la presentación a: </li></ul><ul><ul><li>A la administración </li></ul></ul><ul><ul><li>Fuerza de la ley </li></ul></ul><ul><ul><li>Abogados </li></ul></ul><ul><ul><li>En procesos judiciales </li></ul></ul><ul><li>Incluye la manera de la presentación, contenido y legibilidad </li></ul><ul><li>Se sustenta el proceso empleado para obtener la evidencia </li></ul><ul><li>La presentación de evidencia digital debe estar admitida bajo requerimientos legales para que sea válida , la falla en ello puede causar que la evidencia sea inadmisible </li></ul><ul><li>La experiencia y habilidades están en juego </li></ul>4 3 2 1
  28. 28. El proceso para el cuerpo policial Fase 3 Fase 2 Fase 1 <ul><li>Denuncia – Conocimiento delito público </li></ul><ul><li>Recogida de evidencias del delito (inspección ocular, asegurar el escenario, etc.) </li></ul><ul><li>Búsqueda de información y referencias identificativas </li></ul><ul><li>Resolución de “datos de tráfico” y referencias identificativas </li></ul><ul><li>Identificación y localización </li></ul><ul><li>Vigilancia </li></ul><ul><li>Interceptación </li></ul><ul><li>Registro e incautación </li></ul><ul><li>Análisis forense de sistema y soportes intervenidos </li></ul><ul><li>Informe policial incriminatorio </li></ul>IDENTIFICACIÓN Qué ha pasado? Cómo lo ha hecho INVESTIGACIÓN Quién lo ha hecho? INCRIMINACIÓN ? 4 Presentar 3 Analizar 2 Preservar 1 Identificar Guardia Civil Grupo de Delitos Telemáticos
  29. 29. Iniciativas 1 <ul><li>Buenas prácticas para Informática Forense, herramientas </li></ul><ul><li>Dar soporte a todos los involucrados en el proceso, no sólo técnicas, no específicas. Debe ser estándar, es necesario apoyo de todos </li></ul><ul><li>Para que sea válido e irrefutable </li></ul><ul><ul><li>Abierto, libre (auto certificable) </li></ul></ul><ul><ul><li>Multi/Inter-operable </li></ul></ul><ul><ul><li>Apoyo de todos: comunidad, institucional </li></ul></ul><ul><li>Herramientas de soporte al proceso: auditables, confiables, íntegros </li></ul><ul><li>Educación a todos los niveles y a todos los actores en el proceso </li></ul>
  30. 30. Iniciativas 2 <ul><li>Comunidad </li></ul><ul><ul><li>Honeynet in Spanish http://his.sourceforge.net (Todo sobre honeynets en castellano) </li></ul></ul><ul><ul><li>Análisis Forensics en Castellano (Técnicas de análisis forense) </li></ul></ul><ul><ul><li>http://www.somoslopeor.com/cgi-bin/mailman/listinfo/forensics </li></ul></ul><ul><ul><li>Códigos de prácticas en Digital Forensics http://cp4df.sourceforge.net </li></ul></ul><ul><li>Foros </li></ul><ul><ul><li>CriptoRed (España) </li></ul></ul><ul><ul><li>Pericia Forense (Brasil) </li></ul></ul><ul><ul><li>HackMate (Argentina) </li></ul></ul><ul><ul><li>PenTest (Yahoo Groups) </li></ul></ul><ul><ul><li>CFTT (Yahoo Groups) </li></ul></ul><ul><ul><li>Linux Forensics (Yahoo Groups) </li></ul></ul>
  31. 31. Referencias 1 <ul><li>Ley Especial contra Delitos Informáticos (Venezuela) http://www.mct.gov.ve/leyes/lsdi.htm </li></ul><ul><li>Ley que Incorpora Los Delitos Informáticos al Código Penal (Perú) </li></ul><ul><li>http://www.pnp.gob.pe/culturales/revista_81/pag_36_40.pdf </li></ul><ul><li>Senado - Comisión Especial sobre Redes Informáticas (España) http://www.senado.es/comredinf </li></ul><ul><li>Departament de Justícia i Interior - Direcció General de Relacions amb l’Administració de Justícia (Cataluña-España) http://www.gencat.net/dji </li></ul><ul><li>Policia Nacional Española (Delito Informático) http://www.mir.es/policia/bit/legisla.htm </li></ul><ul><li>Ex-Inspector BIT - PN : Antonio López Melgarejo (Ciberdelito: Investigación criminal y proceso penal) http://www.uoc.edu/in3/dt/20076 </li></ul><ul><li>David Barroso (Links interesantes) http://voodoo.somoslopeor.com/forensics.html </li></ul><ul><li>Diego González (Links interesantes) http://www.dgonzalez.net/secinf </li></ul>
  32. 32. Referencias 2 <ul><li>Dan Farmer http://www.fish.com/security </li></ul><ul><li>Wietse Venema http://www.porcupine.org/forensics </li></ul><ul><li>Brian Carrier http://www.sleuthkit.org </li></ul><ul><li>Trends & Issues in Crime and Criminal Justice http://www.aic.gov.au/publications/tandi/index.html </li></ul><ul><li>FIRST Conference on Computer Security, Incident Handling & Response 2001 http://www.first.org/events/progconf/2001/progs.htm </li></ul><ul><li>Recovering and Examining - Computer Forensic Evidence http://www.fbi.gov/hq/lab/fsc/backissu/oct2000/computer.htm </li></ul><ul><li>Federal Guidelines For Searching And Seizing Computers http://www.usdoj.gov/criminal/cybercrime/search_docs/toc.htm </li></ul><ul><li>Reserch reports en @Stake http://www.atstake.com/research/reports/index.html </li></ul>
  33. 33. Referencias 3 <ul><li>Asociaciones Internacionales sobre Computer Forensics http://www.iacis.com , http://www.htcia.org </li></ul><ul><li>Importance of a Standard Methodology in Computer Forensics http://www.sans.org/rr/incident/methodology.php </li></ul><ul><li>Intrusion Investigation And Post-Intrusion, Computer Forensic Analysis ftp://ftp.net.ohio-state.edu/pub/users/romig/other-papers/intrusion%20investigation.doc </li></ul><ul><li>National Software Reference Library (NSRL) Project http://www.nsrl.nist.gov </li></ul><ul><li>Computer Forensics Tool Testing (CFTT) Project http://www.cftt.nist.gov </li></ul><ul><li>Open Source Software As A Mechanism To Assess Reliability For Digital Evidence http://www.vjolt.net/vol6/issue3/v6i3-a13-Kenneally.html </li></ul><ul><li>September 2000 Market Survey, Computer Forensics http://www.scmagazine.com/scmagazine/2000_09/survey/survey.html </li></ul>
  34. 34. Agradecimientos Guardia Civil Grupo de Delitos Telemáticos Mossos d’Esquadra Unitat de Delictes en Tecnologies de la Informació

×