Introducció a l'anàlisi forense.

<div style="width: 45%; margin-left: auto;"> ![image](https://hackmd.io/_uploads/By3ai4Bolx.png) </div> <a rel="license" href="http://creativecommons.org/licenses/by-sa/4.0/"><img alt="Llicència de Creative Commons" style="border-width:0" src="https://i.creativecommons.org/l/by-sa/4.0/88x31.png" /></a><br />Aquesta obra està subjecta a una llicència de <a rel="license" href="http://creativecommons.org/licenses/by-sa/4.0/">Reconeixement-CompartirIgual 4.0 Internacional de Creative Commons</a> # Introducció a l'anàlisi forense digital. ![image](https://hackmd.io/_uploads/B1i6qaVTgx.png) ## Què és l’anàlisi forense digital? > L’anàlisi forense digital és el **procés d’identificar, preservar, analitzar i presentar evidències digitals** per investigar incidents de seguretat o activitats delictives. - Basada en **mètodes científics i legals**. - Ha de garantir la **integritat de les proves**. - S’utilitza en àmbits legals, corporatius i d’incidents de seguretat. --- ## Les 4 fases del procés forense 1. **Preservació** 2. **Adquisició** 3. **Anàlisi** 4. **Presentació** ### 1. Preservació ![image](https://hackmd.io/_uploads/H1-ViaNage.png) **Objectiu:** protegir les proves digitals per evitar-ne l’alteració o destrucció. **Bones pràctiques:** - No manipular directament el dispositiu afectat. - Desconnectar-lo de la xarxa (aïllar-lo). - Registrar la *cadena de custòdia*. - Fer còpies bit a bit del suport original. **Eines habituals:** write blockers, `dd`, FTK Imager. ### 2. Adquisició ![image](https://hackmd.io/_uploads/B1oto64Teg.png) **Objectiu:** obtenir una **còpia forense** de les dades originals. **Principis clau:** - La còpia ha de ser **exacta** i **verificable** (hash MD5/SHA). - Treballar sempre amb la còpia, **mai amb l’original**. - Documentar el procés (data, responsable, eines utilitzades). ### 3. Anàlisi ![image](https://hackmd.io/_uploads/ByAhjaN6el.png) **Objectiu:** examinar les dades per identificar evidències rellevants. **Tasques habituals:** - Cerca de fitxers, logs, metadades, traces de malware. - Extracció de cronologies d’esdeveniments. - Detecció d’arxius esborrats o ocults. - Correlació de dades amb altres sistemes. ### 4. Presentació ![image](https://hackmd.io/_uploads/Sk9u26E6xx.png) **Objectiu:** elaborar un **informe tècnic i legalment vàlid** amb les conclusions. **L’informe ha d’incloure:** - Descripció del cas i objectius de la investigació. - Mètodes utilitzats i justificació. - Resultats i evidències trobades. - Conclusions clares i comprensibles. **Regla d’or:** l’informe ha de ser **repetible i verificable** per tercers. ### Cadena de custòdia ![image](https://hackmd.io/_uploads/ry3TnaNpxx.png) Garantir que **les proves no han estat alterades** durant tot el procés. **Elements bàsics:** - Registre d’accés a les proves. - Hashes i signatures de verificació. - Documentació cronològica de les accions realitzades. ## Consideracions legals i ètiques - Respectar la **privacitat i la legislació vigent** (LOPDGDD, RGPD). - No accedir a dades que no siguin rellevants per la investigació. - Assegurar la **traçabilitat** i **transparència** del procés. ## Resum final | Fase | Objectiu principal | Resultat esperat | |------|--------------------|------------------| | Preservació | Evitar alteracions | Proves intactes | | Adquisició | Obtenir còpia fidel | Imatge forense verificada | | Anàlisi | Localitzar evidències | Informació rellevant | | Presentació | Comunicar resultats | Informe tècnic i legal | ## Conclusió L’anàlisi forense digital és essencial per: - Investigar incidents amb rigor. - Donar suport a processos judicials. - Millorar la seguretat informàtica de les organitzacions. > “Una prova sense integritat, no és una prova.”