Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.
Informática Forense Roger Carhuatocto [email_address] Miembro esCERT-UPC Responsable de Servicios Educacionales (v1.3 – 15...
Definiciones 1 <ul><li>RAE U 1992. (Pag:478,3)  http ://www.rae.es </li></ul><ul><li>RAE U 1992. (Pag:655,1)  http :// www...
Definiciones 2 <ul><li>RAE U 1992. (Pag:1119,1)  http://www.rae.es </li></ul><ul><li>RAE U 1992. (Pag:660,2)  http://www.r...
Definiciones 3 <ul><li>CERT:  Computer Emergency Response Team </li></ul><ul><li>IRT: Incident Response Team </li></ul><ul...
Para qué? <ul><li>Cómo entraron </li></ul><ul><li>Cuándo </li></ul><ul><li>Para qué </li></ul><ul><li>Quién </li></ul><ul>...
Qué no cubre? <ul><li>Seguimiento, captura o identificar a perpetradores </li></ul><ul><li>Negociar con cuerpos policiales...
Escenarios <ul><li>Entornos donde se podría realizar investigaciones: </li></ul><ul><ul><li>Intrusión a sistemas informáti...
El proceso: elementos Incidente CERT Labs Cuerpo policial Proceso judicial Peritos Legal Sw / Hw Seguros
El proceso: actual <ul><li>Técnico </li></ul><ul><ul><li>Sistemas informáticos: dinámicos, grandes, distribuidos, etc. </l...
El proceso: cómo debe ser cuando sucede <ul><li>Determinar origen y tamaño de intrusión </li></ul><ul><li>Protección de in...
El proceso: ser  proactivo <ul><li>Políticas de seguridad </li></ul><ul><li>Plan de respuesta para incidentes de seguridad...
El forense informático: requerimientos 1 <ul><li>1/3 Técnico: </li></ul><ul><ul><li>Conocimiento técnico </li></ul></ul><u...
<ul><li>1/3 Legal </li></ul><ul><ul><li>Conocimiento de aspectos legales </li></ul></ul><ul><ul><li>España es diferente: L...
<ul><li>Los cuatro principios, surge de la definición de  computer forensics </li></ul>El forense informático: proceso de ...
El forense informático: lemas <ul><li>Rapidez es la esencia, pero no llegar a extremos </li></ul><ul><ul><li>Volatilidad d...
El proceso: (1) Identificar <ul><li>Qué evidencia hay </li></ul><ul><li>Dónde está </li></ul><ul><li>Cómo está almacenada ...
El proceso: (2) Preservar <ul><li>Etapa crítica </li></ul><ul><li>Orden de volatilidad </li></ul><ul><li>Cadena de custodi...
El proceso: (2) Preservar Volatilidad de evidencia <ul><li>Es evidencia que desaparecerá pronto: información de conexiones...
<ul><li>“ Es imposible conocer simultáneamente la posición y velocidad del electrón, y por tanto es imposible determinar s...
El proceso: (2) Preservar:  Cadena de custodia <ul><li>Registro de todas las operaciones sobre la evidencia </li></ul><ul>...
El proceso: (2) Preservar:  diagrama Document The Scene Collect Volatiles? Record Volatiles Being Safe? Image Drives? Powe...
El proceso: (2) Preservando <ul><li>Usar Toolkit portable, online vs. Offline, en presencia de tercera parte legal </li></...
El proceso: (3) Analizar <ul><li>Extrae: Puede dar  algo  no humanamente legible </li></ul><ul><li>Procesa: Lo hace humana...
El proceso: (3) Analizando <ul><li>Estado de arte del análisis </li></ul><ul><li>Usar metodología:  receta de cocina  + ex...
El proceso: (3) Analizar:  resultados <ul><li>Gestión de versiones de documentos/bitácoras </li></ul><ul><li>Reconstrucció...
El proceso: (4) Presentar <ul><li>Implica la presentación a: </li></ul><ul><ul><li>A la administración </li></ul></ul><ul>...
El proceso para el cuerpo policial Fase 3 Fase 2 Fase 1 <ul><li>Denuncia – Conocimiento delito público </li></ul><ul><li>R...
Iniciativas 1 <ul><li>Buenas prácticas para Informática Forense, herramientas </li></ul><ul><li>Pretenden dar ayuda a todo...
Iniciativas 2 <ul><li>Comunidad </li></ul><ul><ul><li>Forensics - SecurityFocus </li></ul></ul><ul><ul><li>[email_address]...
Referencias 1 <ul><li>Senado - Comisión Especial sobre Redes Informáticas -  http://www.senado.es/comredinf </li></ul><ul>...
Referencias 2 <ul><li>Forensic Tool en @Stake http://www.atstake.com/research/tools/forensic </li></ul><ul><li>Reserch rep...
Agradecimientos Guardia Civil Grupo de Delitos Telemáticos Mossos d’Esquadra Unitat de Delictes en Tecnologies de la Infor...
Informática Forense Roger Carhuatocto [email_address] Miembro esCERT-UPC Responsable de Servicios Educacionales (v1.3 – 15...
Nächste SlideShare
Wird geladen in …5
×

Informatica Forense

3.953 Aufrufe

Veröffentlicht am

Veröffentlicht in: Technologie

Informatica Forense

  1. 1. Informática Forense Roger Carhuatocto [email_address] Miembro esCERT-UPC Responsable de Servicios Educacionales (v1.3 – 15.Mayo.2003) C/ Jordi Girona, 29. Edificio Nexus II, 1 B 08034 Barcelona ~ España Tel. (34)934137947 ~ Fax. (34)934137946
  2. 2. Definiciones 1 <ul><li>RAE U 1992. (Pag:478,3) http ://www.rae.es </li></ul><ul><li>RAE U 1992. (Pag:655,1) http :// www.rae.es </li></ul>
  3. 3. Definiciones 2 <ul><li>RAE U 1992. (Pag:1119,1) http://www.rae.es </li></ul><ul><li>RAE U 1992. (Pag:660,2) http://www.rae.es </li></ul>
  4. 4. Definiciones 3 <ul><li>CERT: Computer Emergency Response Team </li></ul><ul><li>IRT: Incident Response Team </li></ul><ul><li>Forensic computing </li></ul><ul><ul><li>Proceso de identificar, preservar, analizar y presentar evidencia digital de manera que sea legalmente aceptable. Sgt. Rodney McKemmish – Autralian Institute of Criminology </li></ul></ul><ul><li>Informática forense </li></ul><ul><li>Forensic computing </li></ul><ul><li>Computer forensics </li></ul><ul><li>Digital forensics </li></ul><ul><ul><li>Sólo difiere en el tema tecnológico </li></ul></ul><ul><ul><li>Medios o dispositivos electrónicos, comunicaciones </li></ul></ul><ul><ul><li>Se busca pistas diferentes </li></ul></ul>
  5. 5. Para qué? <ul><li>Cómo entraron </li></ul><ul><li>Cuándo </li></ul><ul><li>Para qué </li></ul><ul><li>Quién </li></ul><ul><li>Costo de los daños </li></ul><ul><li>Soporte amplio al incidente </li></ul><ul><li>Requerimiento legal </li></ul><ul><li>Soporte al proceso judicial </li></ul><ul><li>“ Modus operandi”, modos de operar de diferentes puntos de vista </li></ul>
  6. 6. Qué no cubre? <ul><li>Seguimiento, captura o identificar a perpetradores </li></ul><ul><li>Negociar con cuerpos policiales, juzgados, TELCOs </li></ul>
  7. 7. Escenarios <ul><li>Entornos donde se podría realizar investigaciones: </li></ul><ul><ul><li>Intrusión a sistemas informáticos </li></ul></ul><ul><ul><ul><li>Web defacement </li></ul></ul></ul><ul><ul><ul><li>Uso no autorizado de equipo informático coorporativo </li></ul></ul></ul><ul><ul><ul><li>Wireless? </li></ul></ul></ul><ul><ul><li>Contenidos ilícitos </li></ul></ul><ul><ul><ul><li>Pornografía infantil: CDs, P2P, Internet </li></ul></ul></ul><ul><ul><ul><li>Amenzas </li></ul></ul></ul><ul><ul><li>Cualquier crimen físico en el que se implique infraestructura, dispositivos que trata contenido digital, no sólo PCs </li></ul></ul><ul><ul><ul><li>Fraudes </li></ul></ul></ul><ul><ul><ul><li>Estafas </li></ul></ul></ul><ul><ul><ul><li>Propiedad intelectual </li></ul></ul></ul><ul><ul><ul><li>Etc. </li></ul></ul></ul>
  8. 8. El proceso: elementos Incidente CERT Labs Cuerpo policial Proceso judicial Peritos Legal Sw / Hw Seguros
  9. 9. El proceso: actual <ul><li>Técnico </li></ul><ul><ul><li>Sistemas informáticos: dinámicos, grandes, distribuidos, etc. </li></ul></ul><ul><ul><li>Se puede ocultar información </li></ul></ul><ul><ul><li>Muy poco conocimiento técnico, la tecnología avanza </li></ul></ul><ul><ul><li>Herramientas existen pero no son globales: opensource, privadas </li></ul></ul><ul><ul><li>Obtener información es fácil, no el análisis </li></ul></ul><ul><ul><li>Almacenamiento </li></ul></ul><ul><li>Legal </li></ul><ul><ul><li>Tecnología avanza y se adapta, leyes cambian lentamente </li></ul></ul><ul><ul><li>Procesos judiciales son lentos en comparación con cambios en la Tecnología </li></ul></ul><ul><ul><li>Protocolo. La presentación de la evidencia debe reunir características especiales </li></ul></ul><ul><ul><li>Sustentar el informe sobre evidencia admitida </li></ul></ul><ul><li>Organizacional </li></ul><ul><ul><li>Falta de preparación de organizaciones contra intrusiones y su operativa policial, sólo ve a corto plazo: reactivo y recuperación </li></ul></ul><ul><ul><li>Resultado ante incidente: descoordinación, evidencia perdida, pérdida de tiempo, etc. </li></ul></ul>
  10. 10. El proceso: cómo debe ser cuando sucede <ul><li>Determinar origen y tamaño de intrusión </li></ul><ul><li>Protección de información sensitiva en sistemas </li></ul><ul><li>Protección de los sistemas, redes y su capacidad para seguir funcionado </li></ul><ul><li>Recuperación de sistemas </li></ul><ul><li>Colección de información de manera consistente con TERCERA parte legal </li></ul><ul><li>Proveer soporte a las investigaciones </li></ul>
  11. 11. El proceso: ser proactivo <ul><li>Políticas de seguridad </li></ul><ul><li>Plan de respuesta para incidentes de seguridad </li></ul><ul><li>Plan de informática forense </li></ul><ul><li>Plan para detección de incidentes </li></ul><ul><li>Determinar equipo con recursos y autoridad para actuar </li></ul><ul><li>Implementar procedimientos para diferentes situaciones y amenazas </li></ul><ul><li>Con regularidad revisar políticas y procedimientos </li></ul>Proteger Preservar Notificar <ul><li>Sistemas </li></ul><ul><li>Información </li></ul><ul><li>Contener intrusión </li></ul><ul><li>Sistemas y logs aceptablemente legal </li></ul><ul><li>A tu CERT </li></ul><ul><li>Administración </li></ul><ul><li>CERT </li></ul><ul><li>Cuerpo Policial </li></ul>
  12. 12. El forense informático: requerimientos 1 <ul><li>1/3 Técnico: </li></ul><ul><ul><li>Conocimiento técnico </li></ul></ul><ul><ul><li>Implicaciones técnicas de acciones </li></ul></ul><ul><ul><li>Comprensión de cómo la información puede ser modificada </li></ul></ul><ul><ul><li>Perspicaz </li></ul></ul><ul><ul><li>Mente abierta y taimado </li></ul></ul><ul><ul><li>Ético </li></ul></ul><ul><ul><li>Continua formación </li></ul></ul><ul><ul><li>Conocimiento de historia: casos pasados, vulnerabilidades, etc. </li></ul></ul><ul><ul><li>Uso de fuentes de datos redundantes </li></ul></ul>
  13. 13. <ul><li>1/3 Legal </li></ul><ul><ul><li>Conocimiento de aspectos legales </li></ul></ul><ul><ul><li>España es diferente: LOPD, LSSI, ?? </li></ul></ul><ul><ul><li>Protocolo de gestión de evidencia </li></ul></ul>El forense informático: requerimientos 2 Admisible Auténtico Completo Confiable Creíble <ul><li>1/3 Operacional, no todos los desafíos son de naturaleza tecnológica </li></ul><ul><ul><li>Gestión de recursos </li></ul></ul><ul><ul><li>Políticas y procedimientos </li></ul></ul><ul><ul><li>Entrenamiento </li></ul></ul><ul><ul><li>Cambios organizacionales </li></ul></ul>
  14. 14. <ul><li>Los cuatro principios, surge de la definición de computer forensics </li></ul>El forense informático: proceso de investigación 4 Presentar 3 Analizar 2 Preservar 1 Identificar
  15. 15. El forense informático: lemas <ul><li>Rapidez es la esencia, pero no llegar a extremos </li></ul><ul><ul><li>Volatilidad de la evidencia </li></ul></ul><ul><li>Cualquier cosa que se hace a un sistema lo altera </li></ul><ul><ul><li>Principio de Incertidumbre de W. Heinsenberg - 1927 </li></ul></ul><ul><li>Nunca confiar en el sistema </li></ul><ul><ul><li>Rootkits </li></ul></ul><ul><li>Considerar siempre tus políticas </li></ul><ul><li>Admitir las fallas </li></ul><ul><li>Preparado para sorpresas </li></ul><ul><li>Documentar </li></ul>
  16. 16. El proceso: (1) Identificar <ul><li>Qué evidencia hay </li></ul><ul><li>Dónde está </li></ul><ul><li>Cómo está almacenada </li></ul><ul><li>El objetivo: determinar que proceso será empleado para facilitar la recuperación </li></ul><ul><li>Ejm.: </li></ul><ul><ul><li>Cualquier dispositivo de almacenar información como: móvil, PC, agendas electrónicas, smart cards, etc. </li></ul></ul>4 3 2 1
  17. 17. El proceso: (2) Preservar <ul><li>Etapa crítica </li></ul><ul><li>Orden de volatilidad </li></ul><ul><li>Cadena de custodia </li></ul><ul><li>Evitar cambios posibles y si no se logra, registrarlo y justificarlo </li></ul>4 3 2 1
  18. 18. El proceso: (2) Preservar Volatilidad de evidencia <ul><li>Es evidencia que desaparecerá pronto: información de conexiones activas de red o el contenido actual de memoria volátil </li></ul><ul><li>De Farmer & Venema – http://www.porcupine.org </li></ul><ul><ul><li>Registers, peripheral memory, caches </li></ul></ul><ul><ul><li>Memory (virtual, physical) </li></ul></ul><ul><ul><li>Network state </li></ul></ul><ul><ul><li>Running processes </li></ul></ul><ul><ul><li>Disks, floppies, tapes </li></ul></ul><ul><ul><li>CD/ROM, printouts </li></ul></ul>4 3 2 1
  19. 19. <ul><li>“ Es imposible conocer simultáneamente la posición y velocidad del electrón, y por tanto es imposible determinar su trayectoria. Cuanto mayor sea la exactitud con la que se conozca la posición, mayor será el error de velocidad, y viceversa…” </li></ul><ul><li>En la informática forense: </li></ul><ul><ul><li>Examinar o coleccionar una parte del sistema alterará otros componentes </li></ul></ul><ul><ul><li>Es imposible capturar completamente un sistema completo en un punto en el tiempo </li></ul></ul><ul><li>Si no se puede evitar el cambio, entonces documentarlo y justificarlo </li></ul>El proceso: (2) Preservar: Principio de Heinsenberg 4 3 2 1
  20. 20. El proceso: (2) Preservar: Cadena de custodia <ul><li>Registro de todas las operaciones sobre la evidencia </li></ul><ul><li>Disponible </li></ul><ul><li>El objetivo es determinar quién accedió a una pieza de evidencia, cuándo y para qué </li></ul><ul><li>El documento de la cadena de custodia es válido desde el momento en que se considera la información como evidencia potencial y debería continuar en la corte/proceso judicial </li></ul>Ciclo de vida de la Evidencia Cadena de custodia 4 3 2 1 4 Presentar 3 Analizar 2 Preservar 1 Identificar
  21. 21. El proceso: (2) Preservar: diagrama Document The Scene Collect Volatiles? Record Volatiles Being Safe? Image Drives? Power Off What Was The point?  Make Images Back @ lab, Analyze Copies, Reconstruct Computers, Analyze “ artifacts” Investigate online, run “ last”, etc. NO NO NO YES YES YES 4 3 2 1 Mossos d’Esquadra Unitat de Delictes en Tecnologies de la Informació
  22. 22. El proceso: (2) Preservando <ul><li>Usar Toolkit portable, online vs. Offline, en presencia de tercera parte legal </li></ul><ul><li>1. Copiar </li></ul><ul><li>2. Generar checksums de copias y originales </li></ul><ul><li>3. Verificar checksums </li></ul><ul><li>4. Time stamping </li></ul><ul><ul><li>Estampar sello de tiempo a checksums </li></ul></ul><ul><ul><li>Fecha checksum = Fecha de copia = Fecha documento </li></ul></ul><ul><li>5. Documente: quién, dónde, cuándo, por qué </li></ul><ul><li>6. Dar copia a custodio </li></ul><ul><ul><li>Custodio da copias a otros investigadores </li></ul></ul><ul><ul><li>Documenta cadena de custodia </li></ul></ul><ul><ul><li>Pocos custodios, pocos testificantes </li></ul></ul>4 3 2 1
  23. 23. El proceso: (3) Analizar <ul><li>Extrae: Puede dar algo no humanamente legible </li></ul><ul><li>Procesa: Lo hace humanamente legible </li></ul><ul><li>Interpreta: Requiere un profundo entendimiento de cómo las cosas están relacionadas </li></ul>4 3 2 1
  24. 24. El proceso: (3) Analizando <ul><li>Estado de arte del análisis </li></ul><ul><li>Usar metodología: receta de cocina + experiencia </li></ul><ul><li>Recomendaciones: </li></ul><ul><ul><li>Correlacionar logs: por IP, por tiempo </li></ul></ul><ul><ul><li>Sincronización: </li></ul></ul><ul><ul><ul><li>Tiempo de sincronización </li></ul></ul></ul><ul><ul><ul><li>Tiempo de zona </li></ul></ul></ul><ul><ul><ul><li>Retraso de eventos </li></ul></ul></ul><ul><ul><ul><li>Orden cronológico de eventos </li></ul></ul></ul><ul><ul><li>Los logs no son siempre fiables: son editables y depende de la integridad del programa que crea los logs, y rootkit? </li></ul></ul><ul><ul><li>Si tienes Host IDS, entonces realizar pruebas de integridad de ficheros </li></ul></ul>4 3 2 1
  25. 25. El proceso: (3) Analizar: resultados <ul><li>Gestión de versiones de documentos/bitácoras </li></ul><ul><li>Reconstrucción cronológica de eventos </li></ul><ul><li>Diagramas: estático y dinámico </li></ul>4 3 2 1
  26. 26. El proceso: (4) Presentar <ul><li>Implica la presentación a: </li></ul><ul><ul><li>A la administración </li></ul></ul><ul><ul><li>Fuerza de la ley </li></ul></ul><ul><ul><li>Abogados </li></ul></ul><ul><ul><li>En procesos judiciales </li></ul></ul><ul><li>Incluye la manera de la presentación, contenido y legibilidad </li></ul><ul><li>Se sustenta el proceso empleado para obtener la evidencia </li></ul><ul><li>La presentación de evidencia digital debe estar admitida bajo requerimientos legales para que sea válida , la falla en ello puede causar que la evidencia sea inadmisible </li></ul><ul><li>La experiencia y habilidades están en juego </li></ul>4 3 2 1
  27. 27. El proceso para el cuerpo policial Fase 3 Fase 2 Fase 1 <ul><li>Denuncia – Conocimiento delito público </li></ul><ul><li>Recogida de evidencias del delito (inspección ocular) </li></ul><ul><li>Búsqueda de información y referencias identificativas </li></ul><ul><li>Resolución de “datos de tráfico” y referencias identificativas </li></ul><ul><li>Identificación y localización </li></ul><ul><li>Vigilancia </li></ul><ul><li>Interceptación </li></ul><ul><li>Registro e incautación </li></ul><ul><li>Análisis forense de sistema y soportes intervenidos </li></ul><ul><li>Informe policial incriminatorio </li></ul>IDENTIFICACIÓN Qué ha pasado? Cómo lo ha hecho INVESTIGACIÓN Quién lo ha hecho? INCRIMINACIÓN ? 4 Presentar 3 Analizar 2 Preservar 1 Identificar Guardia Civil Grupo de Delitos Telemáticos
  28. 28. Iniciativas 1 <ul><li>Buenas prácticas para Informática Forense, herramientas </li></ul><ul><li>Pretenden dar ayuda a todos los involucrados en el proceso </li></ul><ul><li>No sólo técnicas </li></ul><ul><li>No específicas </li></ul><ul><li>Estándar, es necesario apoyo de todos </li></ul><ul><li>Interoperables </li></ul><ul><ul><li>Que se puedan utilizar a lo largo del proceso de gestión de un incidente informático </li></ul></ul><ul><ul><li>Legal, judicial, policial, técnico </li></ul></ul><ul><li>Para que sea válido e irrefutable </li></ul><ul><ul><li>Abierto, libre </li></ul></ul><ul><ul><li>Multi-operable </li></ul></ul><ul><ul><li>Apoyo de todos: comunidad, institucional </li></ul></ul>
  29. 29. Iniciativas 2 <ul><li>Comunidad </li></ul><ul><ul><li>Forensics - SecurityFocus </li></ul></ul><ul><ul><li>[email_address] </li></ul></ul><ul><li>Instituional </li></ul><ul><ul><li>AEFTIC – http://www.aeftic.org </li></ul></ul><ul><ul><ul><li>Fin genérico: La investigación, estudio, publicación y difusión a través de cualquier medio de todo lo relativo a seguridad tecnológica y jurídica en el ámbito de las nuevas tecnologías, así como el diseño y ejecución de programas de formación sobre esta materia a todos los niveles, ya sea directamente o a través de otras instituciones: Administraciones Públicas, Universidades, Colegios Profesionales, Sindicatos, Cámaras de Comercio y otras fundaciones, asociaciones y empresas. </li></ul></ul></ul><ul><ul><li>esCERT-UPC – http://escert.upc.es </li></ul></ul><ul><ul><ul><li>Fin: Educación. gestión y soporte a incidentes de seguridad. </li></ul></ul></ul><ul><ul><li>..... </li></ul></ul>
  30. 30. Referencias 1 <ul><li>Senado - Comisión Especial sobre Redes Informáticas - http://www.senado.es/comredinf </li></ul><ul><li>Departament de Justícia i Interior - Direcció General de Relacions amb l’Administració de Justícia - http://www.gencat.net/dji </li></ul><ul><li>Inspector BIT - PN : Antonio López Melgarejo </li></ul><ul><li>http://www.uoc.edu/in3/dt/20076 </li></ul><ul><li>Dan Farmer - http ://www.fish.com/security </li></ul><ul><li>Trends & Issues in Crime and Criminal Justice http ://www.aic.gov.au/publications/tandi/index.html </li></ul><ul><li>FIRST Conference on Computer Security, Incident Handling & Response 2001 http ://www.first.org/events/progconf/2001/progs.htm </li></ul><ul><li>Recovering and Examining - Computer Forensic Evidence http ://www.fbi.gov/hq/lab/fsc/backissu/oct2000/computer.htm </li></ul><ul><li>Federal Guidelines For Searching And Seizing Computers http ://www.usdoj.gov/criminal/cybercrime/search_docs/toc.htm </li></ul>
  31. 31. Referencias 2 <ul><li>Forensic Tool en @Stake http://www.atstake.com/research/tools/forensic </li></ul><ul><li>Reserch reports en @Stake http://www.atstake.com/research/reports/index.html </li></ul><ul><li>Asociaciones Internacionales sobre Computer Forensics http ://www.iacis.com , http://www.htcia.org </li></ul><ul><li>Importance of a Standard Methodology in Computer Forensics http ://www.sans.org/rr/incident/methodology.php </li></ul><ul><li>Intrusion Investigation And Post-Intrusion, Computer Forensic Analysis ftp ://ftp.net.ohio-state.edu/pub/users/romig/other-papers/intrusion%20investigation.doc </li></ul><ul><li>National Software Reference Library (NSRL) Project http ://www.nsrl.nist.gov </li></ul><ul><li>Computer Forensics Tool Testing (CFTT) Project http ://www.cftt.nist.gov </li></ul><ul><li>Open Source Software As A Mechanism To Assess Reliability For Digital Evidence http ://www.vjolt.net/vol6/issue3/v6i3-a13-Kenneally.html </li></ul><ul><li>September 2000 Market Survey, Computer Forensics http :// www.scmagazine.com / scmagazine /2000_09/ survey / survey.html </li></ul>
  32. 32. Agradecimientos Guardia Civil Grupo de Delitos Telemáticos Mossos d’Esquadra Unitat de Delictes en Tecnologies de la Informació Piqué Abogados Asociados
  33. 33. Informática Forense Roger Carhuatocto [email_address] Miembro esCERT-UPC Responsable de Servicios Educacionales (v1.3 – 15.Mayo.2003) C/ Jordi Girona, 29. Edificio Nexus II, 1 B 08034 Barcelona ~ España Tel. (34)934137947 ~ Fax. (34)934137946

×