Este año imparto un curso de técnicas forenses aplicadas.
Este curso responde a una petición recurrente por parte de los alumnos del curso de peritajes informáticos de que explique la parte técnica de herramientas de la primera intervención en un proceso forense y de análisis de correos electrónicos e imágenes en formato JPG.
En este curso nos vamos a centrar en dos aspectos: por un lado, en la parte práctica de la figura del responsable de la primera intervención. Es decir, en la persona encargada de salvar la evidencia, y generar las imágenes. También vamos a entrar en las fases posteriores en las que se prepara la evidencia digital para el análisis forense. En esta primera parte vamos a analizar las principales metodologías de respuesta a incidentes y primera intervención: las metodologías del NIST, y las del NIJ. La recuperación de pruebas cumpliendo la UNE-EN ISO/IEC 27037:2016. Los distintos tipos de firmas hash, y sus propiedades.
En una segunda parte, nos centraremos en algunos aspectos del análisis forense; en concreto, vamos a aprender a analizar correos electrónicos y fotografías en formato JPEG; y a utilizar la aplicación forense Autopsy.
Este curso está enfocado de forma distinta al curso de peritajes informáticos. Va a ser muy práctico. Y por «muy práctico», significa que cada uno va a llevar su propia «estación forense» para trabajar en clase dos de los tres días. Vamos entrar en las herramientas que yo utilizo, y cómo las utilizo en mi día a día profesional.
La primera sesión práctica nos vamos a centrar en la adquisición forense, en las mecánicas y protocolos DEFR, y en las herramientas del primer interviniente, cuya función es preservar la prueba. Trabajaremos con Caine.
La segunda sesión práctica nos centraremos en la parte de Análisis Forense; es decir, en el trabajo que el forense realiza una vez está en su oficina, a partir de las evidencias preservadas durante la fase de DEFR. Analizaremos el caso de los correos, de las fotografías en formato JPEG, y de Autopsy sobre imágenes Windows.
En el curso no veremos la redacción de los informes periciales -lo que se entrega al tribunal-. Esto supondremos que ya lo conocéis, aunque el curso se puede completar sin saber escribir informes periciales. Intentaré repetir este año el curso de teleformación sobre peritajes informáticos, en el que sí explico la parte del trabajo que se entrega a los tribunales.
Lo que requiere el curso de base técnica es saber «cacharrear» con la consola de Linux.
El temario completo del curso es:
- Uso de la distribución Caine para volcado forense de discos. El caso laboral.
- Recuperación de contenido perdido, borrado o de unidades dañadas.
- Conversión entre imágenes forenses.
- Análisis forense de correos electrónicos.
- Análisis forense de imágenes.
- La aplicación forense Autopsy.
Y la distribución en fechas y horas será:
- Sábado 23 de Noviembre de 9:00h a 14:00h: este día lo centraremos en DEFR: corresponde con la primera intervención, nuestro trabajo termina cuándo la evidencia digital está preservada.
- Sábado 30 de Noviembre de 9:00 a 14:00h: ese día lo centraremos en el Análisis Forense: sobre copia de la evidencia preservada, realizaremos varios análisis comunes: sobre correos electrónicos, sobre imágenes en formato JPEG, recuperación de contenido, y hasta dónde podamos llegar con la aplicación Autopsy, que trabaja normalmente sobre imágenes de Windows.
Va a ser un curso de nivel bastante alto; por lo que presupongo que si lo vas a hacer, es porque ya puedes trabajar en Linux con la consola -aunque no tengas soltura, pero al menos que te aclares-, y que ya sabes de lo que van los peritajes informáticos. Un curso muy práctico, en el que te voy a mostrar los «cacharros» que yo utilizo, y vas a hacer las operaciones con tu propio equipo para que desarrolles soltura.
El curso costará 50€ a alumnos de la Universidad de Málaga, y 70€ a alumnos del curso que no pertenezcan a la UMA. La matriculación, por lo tanto, está abierta a gente de todo el mundo, y quizás os interese el curso.
El curso es de plazas limitadas, y es probable que se llene rápido. La matriculación puedes hacerla como muy tarde dos semanas antes del comienzo del curso, siguiendo este enlace: Curso de informática forense aplicada. Si estás con dudas, te recomiendo que preguntes a otros alumnos sobre los otros cursos que han realizado conmigo (los de seguridad, el de Kali, el de LaTeX, el de C, el de peritajes informáticos) y que te cuenten cómo les ha ido.
Espero verte en el curso.