CP4DF, un avance de la metodolog

1
CP4DF, un avance de la metodología
David Gonzálezdgonz AT sourceforge.net
2

• FASE 5 Presentación e informes
• Presentación clara, concisa, estructurada y sin
  ambigüedad de las evidencias.
• Uso de lenguaje no técnico
• Fase basada en la documentación de las evidencias
  y la cadena de custodia.

• FASE 4 Analizar las evidencias
• Propósito Dar respuestas a las preguntas
• Quién, que, cuando y como?
• Analizar según prioridades del cliente.
• Analizar según
• Tipo de datos
• Tipo de fraude
• Tipo de sistema

• FASE 3 Preservar las evidencias
• Fase crítica
• Preservar de forma que no haya duda de la
  evidencia y de acuerdo a las leyes vigentes.
• Creación de imágenes a nivel de bit
• Correlación de tiempos y fechas
• Generar checksum de original y copias (MD5 y
  SHA-1)
• Embalaje
• Transporte

• Sistemas informáticos
• Windows
• Linux /Unix
• Evidencias comunes
• Redes
• Redes Inalámbricas
• WLAN
• Red conmutación de datos
• Dispositivos móviles
• Teléfonos móviles
• Organizadores de mano
• Sistemas embebidos
• Memory Stick
• Memory Cards

• Lógicamente accesibles
• Grandes cantidades de datos
• Cifrados
• Corruptos o con trampa
• Eliminados
• Ambient data
• File Slack
• Ficheros de intercambio
• Espacio no asignado
• Estenografia

• FASE 2 Identificar las evidencias
• Según prioridades del cliente
• Según tipo de dispositivo
• Volátiles
• No volátiles
• Acorde a las leyes del país.

• Sistemas informáticos
• Redes
• Redes Inalámbricas
• Dispositivos móviles
• Sistemas embebidos
• Otros dispositivos

• Sabotaje informático
• Virus, gusanos o bombas lógicas
• Amenazas mediante correo electrónico
• Accesos no autorizados
• Juego fraudulento on-line

• FASE 1 Asegurar la escena
• Personal competente
• Asignar persona que conduzca el proceso