Análisis Forense Informático

Contenido

Módulo 1: ¿Qué son los delitos informáticos?. Tipos de evidencia.

• ¿Qué es el análisis forense informático?
• Metodología de análisis forense informático.
• Identificar, preservar, analizar y presentar.
• Cadena de custodia.
• Definición del caso.
• Análisis del caso desde el punto de vista técnico y legal.
• Preparando el equipo necesario.
• Desarrollando un laboratorio de análisis forense.

Módulo 2: Aspectos legales. Leyes contra los delitos informáticos.

• Funciones y soporte del área técnica al área legal.
• Principales problemas desde el punto de vista legal.
• Análisis del manual: Searching and Seizing Computers and Obtaining Electronic Evidence in Criminal
• Investigations - Departamento de Justicia - Estados Unidos.
• Aspectos relacionados con la privacidad de la información.

Módulo 3: Aspectos técnicos generales. Formas de almacenamiento.

• Discos rígidos.
• Diskettes.
• CD-ROM's.
• ZIP drive.
• Dispositivos USB.
• Archivos borrados.
• Secuencia de booteo.

Módulo 4: Preparación para la operación. Qué equipos se deben "secuestrar" y cuáles no.

• Cómo manejar un equipo "vivo".
• ¿Qué es lo que se debe "secuestrar".
• Fotografía de los equipos y ubicación de los mismos.
• Remoción de equipos y embalaje.
• Almacenamiento de los equipos sospechosos.

Módulo 5: Recolectando evidencia de un sistema "vivo". Confianza en un sistema "vivo".

• Utilidades de los sistemas operativos (Mainframe, AS/400, Windows, UNIX, etc).
• Análisis de la información.
• Análisis de logs y correlación de los mismos.
• Fecha de acceso a los archivos.
• Procesos anormales.
• Analizando archivos relevantes.
• Análisis de sistemas informáticos comprometidos On-Line.
• Rootkits.

Módulo 6: Realizando imágenes de discos. Sistemas para realizar imágenes.

• Sistemas de boot alternativo.
• Particiones y sistemas de archivos.
• Recupero de imágenes.
• Preparación de una copia para análisis forense.
• Almacenamiento de las imágenes.

Módulo 7: Técnicas de análisis de evidencia. Búsqueda de palabras claves.

• Búsquedas por nombres.
• Análisis de archivos borrados.
• Búsqueda de información específica.
• Búsquedas avanzadas por fechas de acuerdo a los sistemas operativos.
• Accediendo a archivos especiales (spool de impresión, archivo de swap, etc).
• Análisis de LOGS (Dispositivos de red (routers, Firewalls, IDS, etc), Sistemas operativos (AS/400, UNIX, Windows, etc) y Aplicaciones (Bases de Datos, ERP, etc).

Módulo 8: Técnicas de investigación. El problema de la sobrecarga de información.

• Definir el foco de la investigación.
• Entrevistas técnicas.
• Descubrimiento de información.
• Evaluación de la evidencia.
• Problemas del análisis forense informático.

Módulo 9: Documentación de la investigación. Armado de reportes.

• Armado de líneas de sucesos.
• Presentación de la evidencia.

Módulo 10: Encriptación. Passwords y claves de acceso.

• Cracking de claves de archivos protegidos a nivel sistema operativo y aplicaciones.
• Esteganografía.

Módulo 11: Análisis de mensajes de correo electrónico. Análisis y lectura de encabezados de correo electrónico.

• Rastreo de intrusos.
• Técnicas avanzadas de rastreo de intrusiones On-Line.
• Descubrimiento de evidencias.

Módulo 12: Herramientas de análisis forense informático. Encase.

• The Sleuth Kit.
• The Autopsy Forensic Browser.
• Forensic Toolkit.
• Safeback 2.18 .
• DDGNU fileutils 4.0.36.
• Autopsy Forensic Browser.
• Computer Incident Response Suite.
• FileList Pro.
• The Coroner's Toolkit.

Módulo 13: Sensibilización en la igualdad de oportunidades y medio ambiente.

Requisitos:
En las Acciones Formativas dirigidas prioritariamente a los trabajadores ocupados, la participación de éstos será al menos el 60 por ciento respecto del total de trabajadores que inician la formación. En ellas podrán participar trabajadores que estén en situación de ocupados, desempleados o sean trabajadores agrarios. A tal efecto, la consideración como trabajadores ocupados o desempleados vendrá determinada por la situación laboral en que se hallen al inicio de la formación o en el momento en que los trabajadores se incorporen como alumnos a las acciones formativas.

Los trabajadores desempleados que participen en las Acciones Formativas deberán, al inicio de la formación o en el momento en que se incorporen como alumnos, figurar inscritos en el Servicio Cántabro de Empleo. En el caso de los trabajadores ocupados deberán tener su centro de trabajo ubicado en Cantabria.

Los trabajadores desempleados deberán aportar la ficha de solicitud correspondiente junto con la Fotocopia del D.N.I. y Fotocopia de la Tarjeta de Paro. Los trabajadores ocupados deberán aportar la ficha de solicitud y la Fotocopia del D.N.I. y Fotocopia de última nómina.