Cómputo Forense: Huaraz

COMPUTO FORENSEInstituto de Peritajes Criminalísticos

“HANS GROSS”

Alonso E. Caballero Quezada

http://alonsocaballero.informatizate.net

16 de Junio, 2005 - Huaraz, Perú

Instituto de Peritajes Criminalísticos “HANS GROSS”

C

O

M

P

U

T

O

F

O

R

E

N

S

E Huaraz, Perú - 16 de Junio, 2005

A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

Nuevos EscenariosCriminales


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

Las Computadoras y redes están relacionadas virtualmente en todas las actividades diarias.


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

Delimitación Jurídica del Delito informático:

Realización de una acción que reuniendo las características que delimitan el concepto de delito, sea llevada a cabo utilizando un elemento informático o vulnerando los derechos del titular de un elemento informático, sea hardware o software.


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

Delitos informáticos

Conductas ilícitas susceptibles de ser sancionadas por el derecho penal, que hacen uso indebido de cualquier medio informático.


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

Implican actividades criminales que en un inicio se ha tratado de tipificar en figuras típicas de carácter tradicional, robo, hurto, fraude, falsificaciones, etc..

El uso indebido de las computadoras es lo que ha propiciado la necesidad de regulación por parte del derecho.


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

Las “amenazas” en los nuevos escenarios criminales,

abarcan diversos dispositivos electrónicos


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

Individuos con elevados conocimientos y habilidades pueden tener acceso a casi cualquier objetivo.

- Ingreso No Autorizado a Sistemas.

- Transferencias “on-line” de dinero.

- Substracción de información confidencial.

- Llamadas sin cobro, etc.


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

La naturaleza multi-propósito de las computadoras, las convierten en herramientas

muy poderosas.

“Internet es solo un vía de comunicación muy poderosa”


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

Incidentes que se

relacionan con el COMPUTO FORENSE


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

1. Robo de código fuente o información Privada.


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

2. Robo de Archivo de Contraseñas o información de tarjetas de crédito.


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

4. Amenazas o extorsión vía correo electrónico

3. SPAM o Correo no solicitado.


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

5. Intrusiones no autorizadas o ilegales a Sistemas de Computo.


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

6. Ataques de Denegación de Servicios. (DoS, DDoS)


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

El Crecimiento de la Tecnología e Internet facilita la manipulación y el acceso a la información.

“Internet no es mas, que el reflejo denuestra sociedad”


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

Modalidades delictivas en Sistemas de Computo


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

La modalidades delictivas pueden clasificarse basado en dos criterios:

* Como instrumento o medio.Conductas criminales que utilizan las computadoras como método, medio o símbolo en la comisión de un delito

* Como Fin u Objetivo.Conductas criminales dirigidas en contra de la computadora, periféricos o programas como entidad física.


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

1. Falsificación de Documentos


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

2. Manipulación de la contabilidad de la empresas.


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

3. Planeación de delitos convencionales.


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

4. Robo de tiempo de computo.


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

5. Lectura, substracción o copiado de información privada


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

6. Introducción de instrucciones inapropiadas en un sistema.


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

7. Técnica “salami”.


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

8. Uso no autorizado de Programas de computo.


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

9. Alteración de los sistemas mediante virus informáticos.


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

10. Programación de instrucciones que bloquean el sistema.


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

11. Falsificación de Documentos.


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

12. Daño a la Memoria.


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

13. Atentado físico contra la maquina o accesorios.


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

14. Sabotaje político o terrorismo.


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

15. Secuestro de soporte magnético


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

Seguridad Informática Básica.


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

SEGURIDAD:

Característica de un sistema, que nos indica que ese sistema, esta libre de todo daño, riesgo, peligro, y que en cierta manera es infalible.


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

Para el caso de Sistemas Operativos y Redes de Computadora, Se redefine el concepto dado por “fiabilidad”.

Probabilidad de un sistema de que un sistema se comporte tal y como se espera de el.

Un sistema seguro consiste en garantizar tres aspectos.


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

1. Confidencialidad

Los objetos de un sistema serán accedidos solo por elementos autorizados y que la información no será disponible a otras entidades.


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

2. Integridad

Los objetos solo pueden ser modificados por elementos autorizados y de manera controlada.


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

3. Disponibilidad

Los objetos del sistema tienen que permanecer accesibles a elementos autorizados.


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

Los temas de Seguridad informática no pueden ser tratados aisladamente.

La seguridad de todo el sistema es igual a la de su punto mas débil.


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

A. SEGURIDAD FISICA

Aplicación de barreras físicas y procedimientos de control como medidas de prevención y contramedidas contra las amenazas a los recursos y a la información confidencial.


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

Seguridad de Hardware

* Acceso Físico

* Desastres Naturales

* Desastres del entorno


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

Protección de los datos

* Interceptación

* Copias de Seguridad (Backups)

* Otros elementos


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

B. ADMINISTRADORES, USUARIOS, PERSONAL

No es exagerado afirmar que el punto más débil de cualquier sistema informático son las personas relacionadas con él.


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

Ataques Potenciales:

* Ingeniería Social

* Espiar “sobre el hombro”.

* Enmascaramiento

* Basuero

* Actos Delictivos


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

El atacante interno.

La mayoría de incidentes; robo, fraudes, sabotajes, accidentes informáticos; relacionados con los sistemas son causados por el propio personal de la organización.


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

C. SEGURIDAD DEL SISTEMA

* El sistema de Archivos* Programas seguros, inseguros, nocivos* Auditoria del Sistema* Copias de Seguridad* Autenticación de usuarios


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

D. SEGURIDAD DE LA SUBRED

* El sistema de Red* Servicios y Protocolos* Firewalls (Cortafuegos)* IDS (Sistema Detector de Intrusos)* otros aspectos de la Seguridad: - Criptología - Herramientas de Seguridad - Gestión de la seguridad


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

“La seguridad es un estado mental”


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

COMPUTO FORENSE


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

COMPUTO FORENSE:

Técnicas de Análisis e investigación que involucra la identificación, preservación, extracción, documentación y interpretación de datos de computadoras para determinar evidencia legal potencial


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

Se define COMPUTO FORENSE, como la aplicación de la técnicas de la ciencia forense a material de computo. Proceso de identificar, preservar, analizar y presentar evidencia digital de manera que sea aceptada en un proceso legal.


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

“El objetivo del computo forense es obtener la verdad”


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

IDENTIFICACION DE LA EVIDENCIA


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

* La tarea principal es identificar la evidencia.

* Cada caso es diferente, con diferentes tipos de evidencia.

* La regla de oro es, obtener todo.

* Realisticamente, tomar todo y de cualquier lugar, teniendo presente la parte legal.


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

HARDWARE FÍSICO

La evidencia no solo se localiza en el hardware, sin embargo el hardware es un tipo crucial de evidencia.

* Teclado * Monitores* Mouse (ratón) * Joystick* Touchpad * Floppy* CDROM / DVD * etc..* Case de Laptop* Escaners* PDA


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

DISPOSITIVOS REMOVIBLES

Inspección de los medio removibles y que puede ser evidencia valiosa.

Sus propósitos son; Archivo de Datos (backups), Transporte de Datos y Programas de instalación

* Floppy disk* CD / DVD* Dispositivos USB * Memorias * ZIP disk * Cintas magnéticas


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

DOCUMENTOS

Algo que se puede tocar y manipular. Evidencia constituida por documentos se denomina evidencia documental.

Se debe buscar por estos tipos de información escrita:

* Passwords * e-mails* Claves de cifrado * Nombre de archivos* URL * Memorias * Direcciones IP * Cintas magnéticas* Nombres * Direcciones* etc..


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

PRESERVACION DE LA EVIDENCIA


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

* Asegurar absolutamente que ningún cambio a sucedido desde que la evidencia fue recogida.

* Tomar todas las precauciones necesarias para proteger la evidencia recolectada de daño que cambie su estado.

* Anotar explicación de los pasos realizados

* Manipular le evidencia cuando se este seguro que legalmente puede hacerse.


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

¿MANTENER ENCENDIDO O APAGAR?

* ¿Cual es el daño Provocado?

* Al desconectar el fluido eléctrico, la “volátil” se pierde. O puede dañar físicamente los datos.

* Apagar el sistema puede implica perder o modificar el estado de la evidencia.

* El Software forense, debe permitir un análisis “live”.


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

Fluido eléctrico como necesidad

* Algunos tipo de evidencia lo requieren (PDA)

* Para ser usada como evidencia se debe mantener la batería en condiciones adecuadas.

* Si se tiene que lidiar con un dispositivo que requiere suministro constante de energía se debe de también obtener el “cargador”.


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

Proveer evidencia en estado inicial

* ¿Como se convence al jurado que la evidencia no se modifico? HASH,CRC,MD5.

* Bloqueadores de Escritura.

* Preservación del estado de la evidencia.

- Habilitar el medio en modo lectura - Calcular el MD5 - Crear una copia bit a bit. - Retornar el medio al bloqueador.


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

ANALISIS DE LA EVIDENCIA


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

* ¿Es la copia igual a la original?

* Si es así, se procede a realizar el análisis.

* Software Forense incluye las herramientas necesarias para realizar esto.

* Se tiene que desarrollar un sentido de donde buscar y buenos conocimientos para extraer la información.


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

Sabiendo donde mirar.

* El tipo especifico de evidencia, depende del caso.

* Se necesita estar a gusto con el sistema objetivo.

* Ubicación de archivos. (por defecto)

* Entender al sospechoso y su sistema de computo.

* EL software debe permitir acceder a áreas ocultas.


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

- Visores. Visor de Archivos, proporciona una visión de archivos o imágenes.

- Validador de extensión. Compara extensiones con la cabecera.

- Herramienta de recuperación de archivos borrados. El algunos casos totalmente y en otros parcialmente.

- Herramientas de búsqueda. Basado en patrones o criterios en archivos.


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

A través del mar de Datos

* Grandes cantidades de datos. Hay que definir el ámbito de la investigación.

* Archivos “Logs” indican el ámbito.

* Un interpretador de “logs” permite buscar por ocurrencias.

* Un IDS proporciona métodos para analizar múltiples “logs”

* Dificultad: Extraer solo la evidencia necesaria.


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

PRESENTACION DE LA EVIDENCIA


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

* El objetivo es persuadir a la audiencia de utilizar la evidencia.

* Usar la evidencia obtenida para probar hechos.

* Con evidencia contundente, la definición de un caso solo depende de la efectividad de la “presentación”.


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

Conociendo su audiencia

* Haga su tarea.* “Lea” el recinto. - ¿Que se hizo? - ¿Como se hizo? - ¿Porque se hizo? - ¿Que se encontró?

* Puntos Objetivo. - Disposición del lugar - Recolección de evidencia - Manipulación y almacenamiento. - Análisis inicial del lugar - Análisis de Datos - Hallazgos.


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

Organice su Presentación

* Presentación de un promedio de 30 diapositivas por hora.

* El objetivo es presentar evidencia que prueba uno o mas hechos en un caso.

* Algunas veces puede ser mejor una presentación cronológica de hechos.

* Otras veces exposición directa de los tópicos es consistente.


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

Mantengalo Simple

* La complejidad puede provocar confusión.

* Hacer que lo complejo, parezca simple.

* Utilizar ayudas visuales.

* Que tanta tecnología es necesario utilizar en la presentación.


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

CASUISTICA


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

Presuntas firmas falsas del partido político Perú Posible.

Software que permite realizar un exhaustivo peritaje técnico al contenido de la información.


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

Presunto delito de tráfico de influencias al estado Peruano

Carmen Lozada intercambio seis correos electrónicos con Juan sheput cuando se desempeño como jefe de gabinete en el ministerio del Interior.


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

La pareja difundió los videos al mundo vía Internet. Además las pesquisas también involucran al pedófilo en la creación de una pagina web en que la que se difundían fotos trucadas.

Presuntos Esposos implicados en red de Pedofilia.


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

EL portal de el Peruvian Hackers y Crackers, presuntamente fue clausurado por el FBI, por distribuir copias “piratas” mutiladas de dos conocidos antivirus Peruanos.

Clausura de Portal de “Hackers” PHC


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

Constantemente servidores donde se hospedan diversas paginas webs de empresas, instituciones, órganos gubernamentales, son atacados tanto por “Peruanos” como extranjeros.

“Hackeos” a servidores Peruanos.


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

“Quien nunca ha cometido un error, nunca ha probado algo nuevo”

Albert Einstein


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

Agradecimientos:

En primera instancia a mis Padres, Hermana y sobrino.

Y a los que hacen posible mi presencia; Cámara de Comercio de La Libertad, Software International Solutions y en especial al Instituto de Pericias Criminalísticas “HANS GROSS”.

Gracias a Todos ustedes por su presencia y atención.

Alonso Eduardo Caballero Quezada


C

O

M

P

U

T

O

F

O

R

E

N

S


A

L

O

N

S

O

C

A

B

A

L

L

E

R

O

Cómputo Forense: Huaraz

Technology

Transcript of Cómputo Forense: Huaraz