Investigación de Delitos Computacionales e Informáticos

Instituto de Criminalística y Capacitación “HANS GROSS”

Jornadas de Criminalística Cibernética

Alonso Eduardo Caballero Quezada

http://[email protected]

Sábado 17 de Noviembre del 2007Trujillo - Perú

Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007

Temario

* Indicios binarios y la evidencia digital. Concepto y características.

* Metodología para identificación, preservación, análisis y presentación de la evidencia digital en los procesos judiciales.

* Rastreo de Correos electrónicos & Mensajes de Texto en la telefonía Celular


Realidad Mundial


Indicios binarios y la evidencia digital. Concepto y características.



¿Qué es el Sistema Binario?

El sistema binario, en matemáticas, es un sistema de numeración en el que los números se representan utilizando solamente las cifras cero y uno (0 y 1).

Los ordenadores trabajan internamente con dos niveles de voltaje, por lo que su sistema de numeración natural es el sistema binario (encendido 1, apagado 0).



¿Qué es el Sistema Binario?



¿Qué es una señal digital?

Los sistemas digitales, como por ejemplo el ordenador, usan lógica de dos estados representados por dos niveles de tensión eléctrica, uno alto, H y otro bajo, L (de High y Low, respectivamente, en inglés). Por abstracción, dichos estados se sustituyen por ceros y unos, lo que facilita la aplicación de la lógica y la aritmética binaria.



¿Como esta constituida una computadora digital?



El almacenamiento en las computadoras




Almacenamiento Primario




Almacenamiento Secundario



¿Qué es la Evidencia Digital?

Información de valor probatorio que es almacenado o transmitido de manera digital, que una de las partes en una corte puede utilizar como prueba.



Evidencia Digital

Los criminales están utilizando la tecnología para facilitar sus accciones y evitar su captura. Esto crea retos para los abogados, jueces, examinadores forenses y agentes.

Existe un un aspecto positivo en el uso de tecnología por los criminales – El involucrar computadoras en los crímenes da como resultado una abundancia de evidencia digital que puede ser utilizado para atrapar o perseguir a los atacantes.



Evidencia Digital

CSI 2007

Computer Crime and

Security Survey

Cantidad de dólares

perdidos por tipo

de ataque.

$ 66 930 950



¿Que se permite utilizar como evidencia digital?

* Correos electrónicos

* Fotografías digitales

* Registro de transacciones en ATM

* Documentos de procesamiento de palabras

* Historial de mensajería instantanea

* Archivos guardados de programas contables

* Hojas de cálculo

* Historial del navegador de internet

* etc.



¿En que tipo de investigaciones puede ser utilizada la evidencia digital?

*En los detallados anteriormente &

*Homicidios

*Ofensas sexuales

*Personas desaparecidas

*Abuso de menores

*Entrega de drogas

*etc.


Metodología para identificación, preservación, análisis y y presentación de la evidencia digital.


Metodología para identificación, preservación, análisis y presentación de la evidencia digital.

¿Informática Forense ó Cómputo Forense?

¿Qué es un Cómputo?

La obtención de una solución o resultado (sentido matemático), a partir de ciertos datos o entradas utilizando para ello un proceso o algoritmo.

¿Qué es la informática?

Disciplina que estudia el tratamiento automático de la información utilizando dispositivos electrónicos y sistemas computacionales. “Procesamiento de información en forma automática”.



¿Qué es Cómputo Forense?

(1) Es la investigación y técnicas de análisis de computadoras que involucran la identificación, preservación, extracción, documentación, e interpretación de datos de computadoras para determinar evidencia legal.

(2) Es la aplicación de las técnicas de la ciencia forense a material de cómputo. Es el proceso de indentificar, preservar, analizar y presentar evidencia digital de una manera que sea aceptable en un proceso legal.



Metodología

El objetivo del cómputo forense es obtener la verdad.

Tareas básicas presentes en toda investigación forense.

* Identificación de la evidencia

* Preservación de la evidencia

* Análisis de la evidencia

* Presentación de la evidencia



Identificación de la evidencia

La primera tarea que se necesita realizar es identificar la evidencia necesaria para el caso.:

Hardware Físico:

Teclado, Mouse (Ratón), Touchpad, CD-ROM DVD Drive, Case de laptop, Escáners, PDA, Controladores de Juego, Unidades de almacenamiento (Cds/DVDs, cintas, floppys).

Verificar conexión a red. (WAP)



Identificación de la evidencia

Medios removibles:

Discos Flexibles, Zip disk, Cintas

magnéticas, Cds y DVDs, USB drives,

Tarjetas de memoria.

Documentos:

Contraseñas, Código de cifrado, URL, Direcciones IP, direcciones de e-mail, número de teléfono, nombres, direcciones, nombres de archivos, directorios de descarga, subidos, de trabajo.



Preservación de la evidencia

El objetivo principal es asegurar que no se ha realizado ningún cambio desde que la evidencia fué recolectada.

* ¿Desenchufar o “apagar” el sistema?

* Una Fuente de poder es necesaria (PDAs)

* Proporcionar evidencia en su estado inicial.




¿Qué es un Hash?

Se refiere a una función o método para generar claves que representen de manera casi unívoca a un documento, registro, archivo, etc., resumir o identificar un dato a través de la probabilidad, utilizando una función hash o algoritmo hash. Un hash es el resultado de dicha función o algoritmo.




Estado de la preservación de la evidencia

1. Montar el medio sospechoso en modo solo lectura

2. Calcular el hash MD5 para todo el dispositivo.

3. Crear una copia bit – bit del medio.

4. Desmontar el medio y retornarlo al reciento de evidencias.

Se deben tomar precauciones

extras para proteger el medio y

el hash original.



Análisis de la evidencia

¿El hash de la copia concuerda con el hash original?

Se debe de desarrollar un sentido de donde buscar primero, y poseer los conocimientos técnicos para extraer la información.

Saber donde buscar

No toda la evidencia es clara y disponible facilmente. El tipo de evidencia depende del objetivo de la investigación.




Algunos tipos de herramientas necesarias en el proceso del análisis de la evidencia:

* Visores

* Verificadores de extensión

* Herramientas de recuperación

* Herramientas de búsqueda

Nos enfrentamos a un “mar de datos”.




EnCASE - $3600 standar / $2850 Government




The Sleuth Kit / Autopsy - $0 Software Libre



Presentación de la evidencia

* Conocer a la Audiencia

Hacer nuestra tarea

Leer el reciento

Apuntar a los objetivos

* Organización de la presentación

* Mantener simplicidad

Método KISS “keep it simple, stupid”.



Presentación de la evidencia


Arrestado por una Fotografía digital


¿Servicios sexuales de adolescentes en Trujillo?


¿Cómo se puede obtener “demasiada” información de una imagen?

¿EXIF?

Exchangeable Image File Format, es una especificación para formatos de archivos de imagen usados por las cámaras digitales. La especificación usa los formatos JPEF, TIFF y RIFF, a los que agrega TAGS específicos de metadatos.

Fecha Hora

Configuración de la cámara

Información de localización proviene de un GPS conectado a la cámara

Información del Copyright


¿Cómo se puede obtener “demasiada” información de una imagen?


Rastreo de correos electrónicos & mensajes de texto en telefonía celular


Rastreo de correos electrónicos


Rastreo de correos electrónicos & mensajes de texto en telefonía celular.

¿Como funciona el correo electrónico?

Conceptos Previos

MTA: Mail Transport Agent (Agente de Transporte de Correo) Programa de cómputo para transferir correo.

MUA: Mail User Agent (Agente de correo del usuario) Programa de computadora utilizado para manejar correo.

MDA: Mail delivery Agent (Agente de entrega de correo) Software que entrega mensajes después de haber sido aceptados por el servidor.



¿Como funciona el correo electrónico?



¿Cómo se rastrea un correo electrónico?

Conceptos Previos

¿Qué es una Dirección IP?

Una dirección IP es un número que identifica de manera lógica y jerárquica a una interfaz de un dispositivo (una computadora) dentro de una red que utilice el protocolo IP.

A través de internet, las computadoras se conectan entre sí mediantes sus respectivas direcciones IP.



¿Cómo se rastrea un correo electrónico?



¿Cómo obtengo información de una dirección IP?



¿Cómo dificultar el rastreo de un correo electrónico?

* Utilizando Servidores de correo que permitan “relay”

* Utilizando un puente de varios servidores para ocultar la verdadera direccón IP.

* Utilizando aplicaciones con fallas que permitan ser explotadas para enviar correo.

* Utilizando Cabinas publicas.

* Utilizando proxys, o redes de anonimato.

* Utilizando cuentas de “one way” un solo uso.

* “Imaginación”


Rastreo en telefonía celular



¿Que puedes hacer con un teléfono celular?

* Guardar información de contáctos

* Mantener apuntes o recordatorios

* Utilizarlo como una simple calculadora matemática

* Enviar y recibir correo electrónico

* Obtener información; clima, noticias, de internet

* Jugar, escuchar música

* Enviar mensajes de texto

* “Y tambíen hacer llamadas”



¿Qué es la telefonía celular?

Está formada basicamente por: Una red de comunicaciones (red de telefonía móvil) y los terminales (teléfonos móviles).

La Red de telefonía móvil consiste en un sistema telefónico en el que la combinación de una red de estaciones transmisoras/receptoras de radio (estaciones base) y una serie de centrales telefónicas de conmutación, se posibilita la comunicación entre terminales telefónicos móviles (teléfonos móviles).



¿Cómo funciona la red de telefonia móvil?



¿Cómo se realiza la triangulación?



¿Cómo se realiza interceptación de

celulares?

*Interceptación de

comunicaciones GSM.

*Intercepta llamadas de

otro paises.

*Intercepta SMS, Fax y también e-mail

*Versión estándar puede interceptar 4

canales en full duplex, es decir 4

comunicaciones simultaneas.



Cómputo Forense en dispostivos móviles.

¿Qué es tarjeta SIM?

Módulo de Identificación del subscriptor, es una tarjeta inteligente desmontable usada en teléfonos celulares.

Tarjeta SIM con aplicaciones adicionales tienen capacidades de 16KB 32Kb hasta 512KB.




¿Qué es la IMEI?

Indentidad Internacional del equipo celular, en un código pregrabado en los teléfonos GSM: Esto identifica al aparato a nivel mundial y es transmitido al conectarse a la red.

La empresa operadora puede usar el IMEI para verificar el estado del aparato mediante una base de datos denominada EIR (Registro de identidad del equipo).




Ejemplo de la adquisición de un IMEI

Los datos lógicos en bruto adquiridos de un teléfono o SIM están codificados de manera no convencional como un texto en alfabeto GSM de 7bit, y difíciles de interpretar.




¿Qué Software se utiliza? Lector Forense de Tarjetas




¿Qué se utiliza? Software Integrado




¿Qué se utiliza? Obtención de celulares

Números de serie IME, IMSI, llamadas marcadas, recibidas, libreta de dirección, (en handset y SIM), SMS borrados, imagenes, videos, etc etc etc.

Muchas Gracias por su atención...

Alonso Eduardo Caballero Quezada

http://alonsocaballero.informatizate.net

[email protected]

Noviembre, 2007Trujillo - Perú

Investigación de Delitos Computacionales e Informáticos

Technology

Transcript of Investigación de Delitos Computacionales e Informáticos