AF01 - Introducción al análisis forense informático

¿Qué es el análisis forense informático?. Conjunto de técnicas y procedimientos para verificar qué le ha pasado a un dispositivo electrónico que ha dejado de funcionar. Conjunto de técnicas y procedimientos para extraer, sin alterar su estado, evidencias forenses de un sistema. Pruebas relacionadas con el estado de los chips y circuitos de un ordenador para comprobar su fucnionamiento.

¿Cuál es la principal función de un especialista forense?. Explicar qué le ha pasado al ordenador que no funciona. Explicar con argumentos y pruebas lo que ha sucedido en un entorno informático. Poder elaborar una línea de tiempo adecuada a lo solicitado por el cliente para determinar qué le ha sucedido al ordenador según sus indicaciones.

¿Cuántos tipos de análisis forense existen?. 3; Judicial, "De respuesta", de IoT. 2; Judicial y "De respuesta". 4; "De resupuesta", Preventivo, Judicial y de IoT.

¿Qué diferencia un análisis forense Judicial y uno "de respuesta"?. El análisis forense judicial se centra en la documentación y en el esclarecimiento de los hechos mientras que el de respuesta pretende mitigar cuánto antes los daños que haya podido ocasionar un incidente. Son en esencia, lo mismo, aunque el judicial requiere que se presente en un judgado. Un análisis judicial se realizará tras un incidente en el que hayan identificado un sospechoso donde se pretende culparle del incidente. Mientras que el de respuesta se hará en contramedida por la parte defensora en el juicio.

Marque las carácterísticas de cualquier tipo de análisis forense: Reproducible. Objetivo. Esclarecedor. Todas las anteriores.

¿Qué preguntas debe responder un análisis forense?. "Qué","Porqué","Cuándo","Dónde","Quién". "Quiénes","Porqué","Cómo","Dónde","Quién". "Quién", "Para qué", "Dónde", "De parte de quén".

¿Cuántas fases tiene un análisis forense?. 5. 3. 6.

¿Cuáles son las fases de un análisis forense?. 1.- Identificación 2.- Adquisición 3.- Preservación 4.- Análisis 5.- Presentación. 1.- Identificación 2.- Adquisición 3.- Preservación 4.-Transporte 5.- Análisis 6.- Presentación. 1.- Identificación 2.- Adquisición 3.- Preservación 4.- Análisis 5.- Realización del informe.

Seleccione las caracterísitcas que no tiéne que tener un análisis forense. Uso de la primera persona. Objetividad. Verificable. Reproducible.

Aunque ambas hablan sobre metodologías forenses; a nivel metodológico, qué guía es mas completa: ISO 27037:2016. UNE 71506:2013. Ambas son iguales.

Conforme a las normativas de análisis forense actuales, ¿Qué normativa se aplica mejor a la legsilación forene actual en España?. ISO 27027:2016. ISO 27001. UNE 71506:2013.

Explica porqué la fase de identificación es vital en un análiis forense: Es imprescindible identificar bien el escenario para determinar con precisión qué elementos debemos tener en cuenta a la hora de realizar el análisis. Identificar todos los dispositivos electrónicos en la escena del crimen. Tenemos que saber qué elementos pueden dar una información correlativa y coherenre a la investigación, siempre y cuándo sean digitales.

Qué caracteriza la fase de adquisición: El analita se lleva todas las pruebas a su laboratorio, haya o no haya autorización del cliente. Debe ser minuciosa y siempre respetar los datos originales. Deben permanecer inalterados. El analista extraerá todos los datos de los equipos físcos en primer lugar para preservar las evidencias que pueden ser sustraidas.

Las pruebas se deben extraer siempre por oden de volatilidad: Verdadero. Falso.

Una vez localizadas las funtes de información se procderá a su análisis en el siguiente orden. RAM, CPU, tablas ARP, Discos duros, Topologías de red. Caché de memoria, CPU, RAM, tablas ARP, Discos Duros. Discos duros, RAM, CPU, Topologías de Red.

Qué elemento asegura la integridad de las pruebas. Write Blockers. Cadena de Custodia. Jaula de Faraday.

Selecciona los elementos que debe tener una cadena de custodia: Identificaciión inequívoca de las evidencias. Preservación de la evidencia. Registro de Control. Todas las anteriores.

¿Cuál de las siguientes fuentes de información deberían de recolectarse antes en un análisis forense?. Disco externo USB. Memoria RAM del ordenador. CD-ROM. Fichero dentro del ordenador.

Un analista forense siempre debe llevar consiguio: WriteBlockers. Juego de destornilladores. Cables para conectar con cualquier dispositivo. Herramientas para el análisis del logs.

El software más usado para el análisis de teléfonos móviles es: Volatility. Cerberus. Cellebrite. iLeAPP.

El análisis de discos duros es habitualmente llevado a cabo con: EnCase. Volatility. SetScann. SIFT.

El reporte de un análisis debe ser siempre técnico e impersonal, siendo claro y entendible sobre todo para los técnicos que solucionarán el problema. Verdadero. Falso.

El reporte de un análisis forense debe dvidirse en dos partes, una primera que resuma a los directivos los motivos y consecuencias del incidente y una segunda más técnicas para el personal especializado. Verdedero. Falso.

Las suposiciones se deben incluir en un análisis forense. Aunque son valorables no se deben incluir. Nunca se deben incluir. Es recomendable incluirlas aunque no deben ser tratadas cómo hechos.

Si en una cadena de logs, no se incluye el timeline: Los logs no son válidos. Me invento los timelines. Buscaré eventos relacionados en el sistema, aunque lo dejaré reflejado en el informe. Se deshechará la prueba.

Como analista externo, es recomendable hacer públicos los datos que se han visto comprometidos. Verdadero. Falso.