¿Qué cubre una clase de informática forense?
Sin más detalles, voy a suponer que estás preguntando sobre las clases de introducción. Estoy en el proceso de terminar un programa de asociado de informática forense en mi colegio comunitario local, por lo que analizaré algunos de los temas principales que he visto hasta ahora. Si bien he estado en el campo de la seguridad de TI durante algún tiempo, estoy lejos de ser un experto en el campo forense, por lo que es casi seguro que no será una lista extensa.
Nota: Esta es una respuesta basada en los EE. UU., Los aspectos legales pueden variar según la ubicación
- ¿Qué es el software de cifrado de datos?
- ¿Pueden los hackers rastrear la ubicación de su computadora?
- ¿Qué son las amenazas relacionadas con la contraseña?
- ¿Cuáles fueron algunas de las grandes vulnerabilidades de seguridad (que ahora están parcheadas) descubiertas en su organización?
- ¿Cuáles son los talentos, habilidades y cualidades de un buen analista de seguridad (informático)?
Procedimientos de investigación penal
La informática forense es en gran parte un tema de justicia penal. Hay trabajos en el sector privado, pero todavía tienden a seguir los mismos principios. Esto cubre temas como:
- Cómo recopilar pruebas digitales en la escena de un crimen sin comprometerlo (a diferencia de programas como CSI, no puede simplemente subirse a la computadora del sospechoso y comenzar a navegar, esta es una muy buena manera de sacar cualquier evidencia fuera de la corte )
- ¿Qué se le permite buscar frente a lo que está protegido por la 4ta Enmienda?
- Cómo documentar adecuadamente la evidencia digital
- Cómo mantener la cadena de custodia para la evidencia recopilada
- Preparación para testificar ante la evidencia en la corte
Almacenamiento de datos y sistemas de archivos
Ahora nos estamos metiendo en los aspectos básicos de la recuperación de evidencia. Es importante comprender cómo una computadora almacena datos en el disco duro. Como ejemplo, los archivos “eliminados” aún pueden existir en el disco duro. Esperarás ver temas como:
- Cómo se estructuran los sistemas de archivos comunes
- Cómo localizar archivos borrados que no se han sobrescrito
- ¿Qué es la holgura de archivos y por qué es importante?
- Cómo buscar espacio de disco no asignado
- Métodos comunes para ocultar datos incriminatorios (esteganografía, cambio de extensiones de archivo)
Recolección de evidencia digital
En mi caso, en este punto tenía una clase separada en la que aprendimos a usar el software de recuperación de evidencia digital (EnCase) para revisar unidades “sospechosas” y recolectar evidencia. Esto pone en práctica muchos de los temas anteriores además de agregar conceptos como:
- Hacer una copia bit por bit de los medios sospechosos para su examen (querrá usar una copia para preservar los medios originales)
- Uso de hashes para confirmar la integridad de la copia del examen antes y después de la investigación.
- Construir una biblioteca hash y usar valores hash para identificar archivos conocidos
- Crear un resumen / resumen de la investigación y cualquier hallazgo relevante
- Los entresijos del uso del software (crear un caso, importar una imagen de unidad, buscar, marcar archivos, etc.)
Forense de red
El tema final, que todavía tengo que abordar, cubre el análisis y la investigación del tráfico de red. Dejaré la descripción detallada para alguien con más experiencia que yo.
Esto fue en el transcurso de tal vez 5 o 6 clases para mí con cierta superposición entre clases; Su experiencia puede ser diferente. Si está buscando un programa de grado más avanzado, estoy seguro de que habrá temas adicionales, así como muchos más detalles en cada uno de estos.
