Hugo Gonzlez Medina @parallax2099

La globalizacin no es producto de ideologas ni de conspiraciones, sino de dos clases de seres humanos cuyas acciones inspiraron dos magistrales libros, los creadores y los descubridores. Luis Pazos

Pazos, Luis. La Globalizacin, Mxico, Diana, 1998, p.12

Tecnologas de la Informacin y Comunicaciones Criminalstica Cibercrmen y Delitos Informticos Informtica forense Software Comercial Software Libre Live CD Caine Preguntas y Respuestas

TIC = Tecnologas de la Informacin y Comunicaciones Son los elementos y las tcnicas utilizadas en el tratamiento y la transmisin de las informaciones, principalmente de informtica, internet y telecomunicaciones. El uso de las tecnologas de informacin y comunicacin entre los habitantes de una poblacin, ayuda a disminuir la brecha digital existente en dicha localidad

Aumenta el conglomerado de usuarios que utilizan las Tic como medio tecnolgico para el desarrollo de sus actividades y por eso se reduce el conjunto de personas que no las utilizan. Las TIC son un concepto dinmico

Las TIC conforman el conjunto de recursos necesarios para manipular la informacin y particularmente las computadoras, programas informticos y redes necesarias para convertirla, almacenarla, administrarla, transmitirla y encontrarla.

La criminalstica es un conjunto de tcnicas y procedimientos de investigacin cuyo objetivo es el descubrimiento, explicacin y prueba de los delitos, as como la verificacin de sus autores y vctimas. La criminalstica se vale de los conocimientos cientficos para reconstruir los hechos. El conjunto de disciplinas auxiliares que la componen se denominan ciencias forenses.

Arte forense Antropologa forense Balstica forense Dactiloscopa Documentoscopa Entomologa forense Fisionoma forense Fotografa forense Gentica forense

Proteccin del lugar de los hechos. Observacin del lugar de los hechos. Fijacin del lugar de los hechos. Levantamiento de indicios. Suministro de indicios al laboratorio.

Cibercrimen. Nuevo concepto empleado para definir actividades delictivas realizadas con la ayuda de herramientas informticas. El mbito de los cibercrimenes es cada vez ms amplio y mientras ms avanza la tecnologa existe ms incidencia de los delitos informticos.

Obtener dinero no es el nico objetivo, sino tambin el dominio de internet. Tambin hay casos de ataques con fines polticos Los casos de PHISING y Troyanos siguen en ascenso imparable. El phising aprovecha las vulnerabilidades de los lenguajes de programacin (java, PHP, javascript, .NET) para obtener datos de usuarios para utilizarlos a su beneficio.

Piratera, distribucin ilegal contenidos, software, msica, video y juegos. Acceso a redes de pornografa, abuso infantil, trata de personas, explotacin sexual. Fraudes en telecomunicaciones Accesos no autorizados a Sistemas. Injurias, calumnias y extorsiones Denegacin de acceso a sitios web Secuestro de pginas Web Envo de SPAM no solicitado

Son actitudes ilcitas en que se tienen a las computadoras como instrumento o fin o las conductas tpicas, antijurdicas y culpables. Delitos de cuello blanco, en tanto que solo un grupo de personas con ciertos conocimientos tcnicos puede llegar a cometerlos. Acciones de oportunidad, se aprovecha una ocasin creada o altamente intensificada en el mundo de funciones y organizaciones del sistema tecnolgico y econmico.

Sabotaje Informtico Daos fsicos Daos Lgicos Bombas Lgicas (Logic Bomb) Gusanos Virus Informticos y Malware Ataques de denegacin de servicios Caballos de Troya o Troyanos

Falsificaciones informticas Robo de identidad Manipulacin de datos de salida Fuga de datos Espionaje Industrial Pinchado de lneas telefnicas Tcnica de salam

Es importante para el Informtico Forense conocer la legislacin existente sobre delitos informticos.

Cdigo Penal Federal Espionaje Rebelin Terrorismo Sabotaje Conspiracin Delitos en Materia de Vas de Comunicacin y Correspondencia Violacin de Correspondencia Delitos Contra la Salud Corrupcin de Personas Menores de Edad Trata de Personas Menores de Edad Revelacin de Secretos y Acceso Ilcito a Sistemas y Equipos de Informtica Falsedad (Falsificacin de Documentos) Delitos Contra la Paz y Seguridad de las Personas Homicidio Robo Fraude Extorsin Operaciones con recursos de Procedencia Ilcita Delitos Electorales y en Materia de Registro Nacional de Ciudadanos De los Delitos en Materia de Derechos de Autor

Ley Federal de Telecomunicaciones

Cdigo de Comercio

Disposiciones Generales De la Operacin de los Servicios de Telecomunicaciones De la Operacin de las Comercializadoras de Servicios Del Registro de Telecomunicaciones Infracciones y Sanciones

Ley Federal contra la Delincuencia Organizada. De la Investigacin de Delincuencia Organizada De las rdenes de Cateo y de Intervencin de Comunicaciones Privadas

De la Correspondencia De Comercio Electrnico De las Firmas

Ley Federal de Derechos de Autor Del Derecho de Autor Del Contrato de Radiodifusin De los Programas de Computacin y Bases de Datos

Ley de Propiedad Industrial

Ley de Seguridad Nacional

Disposiciones Generales De las Invenciones, Modelos de Utilidad y Diseos Industriales De los Modelos de Utilidad De las Intervenciones de Telecomunicaciones De los Casos de Urgencia

Ley Federal de Radio y Televisin Principios fundamentales Nulidad, Caducidad y Revocacin Programacin Sanciones

Ley de Instituciones de Crdito

Ley Federal de Juegos y Sorteos

De las Disposiciones Preliminares De los Delitos De la Proteccin de los Intereses del Pblico Reglamento de Juegos y Sorteos. No sern Objeto de Autorizacin las Mquinas Tragamonedas en cualquiera de sus modalidades

No existe perfil para identificarlo Expertos en sistemas avanzados, lenguajes de programacin, telecomunicaciones, electrnica. Algunos hablan de Hackers Blancos y Negros.

Crackers. Romper restricciones que se encuentran protegidas. Coders. Construir y programar virus, conocen de lenguajes de programacin. Phreaking. Amplio conocimientos de telecomunicaciones. Clonacin de telefnos. Copy Hackers. Conocedores de Ingeniera Social. Obtienen de Hacker, Coders o Phreakers informacin para su uso. Lammer. Los ms numerosos y peligrosos. Pretenden hacer hacking sin tener los conocimientos.

La Informtica Forense es el proceso de investigar dispositivos electrnicos o computadoras con el fin de descubrir y de analizar informacin disponible, suprimida, u ocultada que puede servir como evidencia en un asunto legal.

La Informtica Forense recolecta y utiliza la evidencia digital para casos de delitos informticos y para otro tipo de crmenes usando tcnicas y tecnologas avanzadas.

Un experto en informtica forense utiliza estas tcnicas y las de criminalstica para descubrir evidencia de un dispositivo de almacenaje electrnico. Los datos pueden ser de cualquier clase de dispositivo electrnico como discos duros, cintas o discos de respaldo, computadores porttiles, memorias extrables, archivos y correos electrnicos.

La Informtica Forense consigui atencin durante el escndalo de Enron (2001), por ser la investigacin ms grande de Informtica Forense hasta la presente fecha. Hoy en da la Informtica Forense y el descubrimiento electrnico se est convirtiendo en estndar de juicios y pleitos legales de todos los tipos, especialmente pleitos grandes juicios que implican materias corporativas con gran cantidad de datos.

La recoleccin de datos, Comparacin de los mismos, Anlisis para obtener los datos requeridos; y Evaluacin de datos procedentes de cualquier medio informtico con fines judiciales.

Tradicionalmente las investigaciones forenses son realizadas sobre datos en reposo, por ejemplo, el contenido de los discos duros. Esto puede ser denominado como un anlisis esttico. Los investigadores podran tomar la decisin de apagar el sistema de cmputo por temor a que los datos puedan ser borrados por alguna causa, como una bomba lgica. En los ltimos aos se ha puedo cada vez ms nfasis en realizar el anlisis sobre los sistemas en funcionamiento. Una razn para esto es que muchos ataques contra los sistemas de cmputo no dejan rastros en el disco duro de la computadora; el atacante solo explota informacin en la memoria de la computadora. Otra razn es el creciente uso del almacenamiento criptogrfico; donde las nicas copias de las llaves para desencriptar el almacenamiento estn en la memoria de la computadora, en consecuencia si se apagara la computadora, se perdera esta informacin.

Los datos llamados voltiles son aquellos que se mantienen en un almacenamiento temporal en la memoria del sistema (Incluyendo Memoria de Acceso Aleatorio (RAM), memoria cach, y la memoria de los perifricos tales como una tarjeta de video o NIC). Es Voltil debido a que esta memoria depende del suministro elctrico para mantener su contenido. Cuando el sistema es apagado o el suministro de energa se corta, los datos desaparecen. La evidencia ms voltil debe ser capturada primero, con el siguiente orden: Registros y Cach Tablas de rutas, Cach ARP, Tabla de Procesos, Estadsticas del Kernel Contenido de la Memoria del Sistema Archivos Temporales del Sistema Datos en el Disco.

Fotografiar la pantalla del monitor, para capturar los datos mostrados en el momento de la captura. Tomar los pasos necesarios para preservar los datos voltiles Hacer las rplicas de los discos, para trabajar con estos y mantener la integridad de la evidencia original. Verificar la integridad de la evidencia para confirmar que es una rplica exacta, utilizando un hash para verificar que sea precisa y confiable. Apagar el Sistema de manera adecuada de acuerdo a los procedimientos del Sistema Operativo que est en funcionamiento. Fotografiar la configuracin del Sistema antes de mover algo, incluyendo la parte frontal y trasera, incluyendo cables. Desenchufar el sistema y todos los perifricos, marcando y etiquetando cada uno de ellos. Utilizar un brazalete antiesttico antes de manejar cualquier equipo. Colocar las tarjetas, los discos duros en bolsas antiestticas para su transporte.

Soluciones de la empresa Decision Group (www.edecision4u.com) EnCase Forensic (www.guidancesoftware.com) Forensic Toolkit (accessdata.com)

Herramienta privativa Costo por licencia anual Venta de capacitacin especializada Actualizaciones con costo adicional Especializadas para diferentes marcas y modelos de algunos equipos de cmputo. Efectivas al 100%

GNU /Linux (Relacionadas con auditora de seguridad y seguridad informtica) Backtrack (http://www.backtrack-linux.org) Slackware (http://www.slackware.com) Operator Raptor (http://forwarddiscovery.com/Raptor)

GNU/Linux especializados (Informtica Forense) CANAIMA (http://forense.canaima.org.ve ) DEFT (http://www.deftlinux.net/2012/01/31/deft7-ready-for-download/ ) CAINE Live CD (http://www.caine-live.net)

Lenguajes de programacin y compiladores para el desarrollo de nuestras propias herramientas. Independencia tecnolgica. Facilidad de creacin de drivers para diferentes dispositivos de hardware. Permite utilizar un Sistema Operativo que no necesita licencia para su utilizacin. Costo econmico y al alcance de cualquier persona. Formatos estndar. Correccin mas rpida y eficiente de fallos. El Cdigo fuente puede ser analizado o auditado y de esta manera conocer exactamente su funcionamiento. El uso de un Live CD GNU/Linux, permite analizar un sistema o las unidades de almacenamiento de un Sistema en Modo de Solo Lectura, sin realizar modificaciones en el Sistema objetivo. Utilizacin en modo CLI (Interfaz en Lnea de Comando)& GUI Efectivas al 100%

CAINE = Computer Aided INvestigative Environment. Es una distribucin GNU/Linux en modo LiveCD creada por Giancarlo Giustini como un proyecto de Informtica Forense (Forense Digital) para el Centro de Investigacin en Seguridad (CRIS), con el apoyo de la Universidad de Modena y Reggio Emilia. CAINE representa completamente el espritu de la filosofa Open Source, debido a que el proyecto es completamente de cdigo abierto. El lado Windows (WinTaylor) es de cdigo abierto.

CAINE propone como novedad un nuevo entorno de fcil uso para herramientas forenses. Introduce nuevas caractersticas importantes, que aspiran a llenar el vaco de interoperabilidad a travs de diferentes herramientas forenses, ya que proporciona una interfaz grfica homognea que gua a los investigadores digitales durante la adquisicin y el anlisis de las pruebas electrnicas, y ofrece un proceso semiautomtico durante la documentacin y generacin de informes y resultados.

Caine es un simple Ubuntu preparado para la informtica forense. CAINE Distro usa software que esta bajo varios tipos de licencia, tales como la GPL y LGPL.

Tres formas de trabajar con Caine: LiveUSB CD Live Instalacin en Disco Duro

CAINE soporta los siguiente lenguajes: Ingls, Italiano, Francs, Alemn y Portugus. CAINE tiene dos modos de Funcionamiento: El Lado Windows. (Utilizando WinTaylor) El Lado GNU/Linux. (Basado en Ubuntu)

Ofrece herramientas para: Obtencin de datos

Anlisis

Documentacin

Creacin de Reportes

AIR 2.0.0 Abiword Autopsy Afflib Ataraw AtomicParsley BBT.py Bkhive Bloom ByteInvestigator Bulk Extractor Cryptcat Chntpw Epiphany Disk Utility DMIDecode Gparted gtk-recordmydesktop SFDumper 2.2 SSDeep

DMIDecode Dos2unix Ddrescue Dcfldd Dc3dd Dvdisaster Exif Foremost FileInfo FiWalk Fundl 2.0 FKLook Fod Fatback GCalcTool Geany Galleta Gtkhash Guymager HDSentinel Hex Editor (Ghex) SSHFS ans SMBFS

HFSutils Libewf Lnk-parse lnk.sh Log2Timeline Liveusb mork.pl Midnight Commander MD5deep Md5sum Nautilus Scripts NBTempo ntfs-3g Offset_Brute_Force Pasco Photorec Read_open_xml Reglookup Rifiuti Readpst Scalpel SQLJuicer VLC media player

Herramientas y paquetes incluidos en WinTaylor Many NIRSOFT tools and NirsoftMegaReport by Nanni Bassetti. SysInternals tools FTK Imager RAM dump tools Net tools

Donde se deben almacenar los datos capturados? Nunca en el Sistema Objetivo que est siendo intervenido. Se puede almacenar en una unidad adjunta al sistema que est siendo intervenido. Tomando en consideracin que esta accin NO modifica en demasa el sistema intervenido. Se pueden almacenar utilizando la red en otras unidades de almacenamiento de una estacin de anlisis forense. Con el modelo Cliente / Servidor. Las opciones para el almacenamiento de los datos capturados depende de los programas o aplicaciones que se sean utilizados por el investigador forense.

Hugo Gonzlez Medina Gerente de Operaciones Consultores en TI GEOH de Mxico parallax2099@gmail.com @parallax2099