Investigación de Delitos Computacionales e Informáticos
-
Upload
alonso-caballero -
Category
Technology
-
view
298 -
download
0
Transcript of Investigación de Delitos Computacionales e Informáticos
Instituto de Criminalística y Capacitación “HANS GROSS”
Jornadas de Criminalística Cibernética
Alonso Eduardo Caballero Quezada
http://[email protected]
Sábado 17 de Noviembre del 2007Trujillo - Perú
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Temario
* Indicios binarios y la evidencia digital. Concepto y características.
* Metodología para identificación, preservación, análisis y presentación de la evidencia digital en los procesos judiciales.
* Rastreo de Correos electrónicos & Mensajes de Texto en la telefonía Celular
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Realidad Mundial
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Realidad Mundial
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Realidad Mundial
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Realidad Mundial
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Realidad Mundial
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Realidad Mundial
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Realidad Mundial
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Indicios binarios y la evidencia digital. Concepto y características.
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Indicios binarios y la evidencia digital. Concepto y características.
¿Qué es el Sistema Binario?
El sistema binario, en matemáticas, es un sistema de numeración en el que los números se representan utilizando solamente las cifras cero y uno (0 y 1).
Los ordenadores trabajan internamente con dos niveles de voltaje, por lo que su sistema de numeración natural es el sistema binario (encendido 1, apagado 0).
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Indicios binarios y la evidencia digital. Concepto y características.
¿Qué es el Sistema Binario?
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Indicios binarios y la evidencia digital. Concepto y características.
¿Qué es una señal digital?
Los sistemas digitales, como por ejemplo el ordenador, usan lógica de dos estados representados por dos niveles de tensión eléctrica, uno alto, H y otro bajo, L (de High y Low, respectivamente, en inglés). Por abstracción, dichos estados se sustituyen por ceros y unos, lo que facilita la aplicación de la lógica y la aritmética binaria.
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Indicios binarios y la evidencia digital. Concepto y características.
¿Como esta constituida una computadora digital?
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Indicios binarios y la evidencia digital. Concepto y características.
El almacenamiento en las computadoras
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Indicios binarios y la evidencia digital. Concepto y características.
El almacenamiento en las computadoras
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Indicios binarios y la evidencia digital. Concepto y características.
El almacenamiento en las computadoras
Almacenamiento Primario
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Indicios binarios y la evidencia digital. Concepto y características.
El almacenamiento en las computadoras
Almacenamiento Secundario
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Indicios binarios y la evidencia digital. Concepto y características.
¿Qué es la Evidencia Digital?
Información de valor probatorio que es almacenado o transmitido de manera digital, que una de las partes en una corte puede utilizar como prueba.
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Indicios binarios y la evidencia digital. Concepto y características.
Evidencia Digital
Los criminales están utilizando la tecnología para facilitar sus accciones y evitar su captura. Esto crea retos para los abogados, jueces, examinadores forenses y agentes.
Existe un un aspecto positivo en el uso de tecnología por los criminales – El involucrar computadoras en los crímenes da como resultado una abundancia de evidencia digital que puede ser utilizado para atrapar o perseguir a los atacantes.
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Indicios binarios y la evidencia digital. Concepto y características.
Evidencia Digital
CSI 2007
Computer Crime and
Security Survey
Cantidad de dólares
perdidos por tipo
de ataque.
$ 66 930 950
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Indicios binarios y la evidencia digital. Concepto y características.
¿Que se permite utilizar como evidencia digital?
* Correos electrónicos
* Fotografías digitales
* Registro de transacciones en ATM
* Documentos de procesamiento de palabras
* Historial de mensajería instantanea
* Archivos guardados de programas contables
* Hojas de cálculo
* Historial del navegador de internet
* etc.
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Indicios binarios y la evidencia digital. Concepto y características.
¿En que tipo de investigaciones puede ser utilizada la evidencia digital?
*En los detallados anteriormente &
*Homicidios
*Ofensas sexuales
*Personas desaparecidas
*Abuso de menores
*Entrega de drogas
*etc.
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Metodología para identificación, preservación, análisis y y presentación de la evidencia digital.
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Metodología para identificación, preservación, análisis y presentación de la evidencia digital.
¿Informática Forense ó Cómputo Forense?
¿Qué es un Cómputo?
La obtención de una solución o resultado (sentido matemático), a partir de ciertos datos o entradas utilizando para ello un proceso o algoritmo.
¿Qué es la informática?
Disciplina que estudia el tratamiento automático de la información utilizando dispositivos electrónicos y sistemas computacionales. “Procesamiento de información en forma automática”.
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Metodología para identificación, preservación, análisis y presentación de la evidencia digital.
¿Qué es Cómputo Forense?
(1) Es la investigación y técnicas de análisis de computadoras que involucran la identificación, preservación, extracción, documentación, e interpretación de datos de computadoras para determinar evidencia legal.
(2) Es la aplicación de las técnicas de la ciencia forense a material de cómputo. Es el proceso de indentificar, preservar, analizar y presentar evidencia digital de una manera que sea aceptable en un proceso legal.
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Metodología para identificación, preservación, análisis y presentación de la evidencia digital.
Metodología
El objetivo del cómputo forense es obtener la verdad.
Tareas básicas presentes en toda investigación forense.
* Identificación de la evidencia
* Preservación de la evidencia
* Análisis de la evidencia
* Presentación de la evidencia
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Metodología para identificación, preservación, análisis y presentación de la evidencia digital.
Identificación de la evidencia
La primera tarea que se necesita realizar es identificar la evidencia necesaria para el caso.:
Hardware Físico:
Teclado, Mouse (Ratón), Touchpad, CD-ROM DVD Drive, Case de laptop, Escáners, PDA, Controladores de Juego, Unidades de almacenamiento (Cds/DVDs, cintas, floppys).
Verificar conexión a red. (WAP)
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Metodología para identificación, preservación, análisis y presentación de la evidencia digital.
Identificación de la evidencia
Medios removibles:
Discos Flexibles, Zip disk, Cintas
magnéticas, Cds y DVDs, USB drives,
Tarjetas de memoria.
Documentos:
Contraseñas, Código de cifrado, URL, Direcciones IP, direcciones de e-mail, número de teléfono, nombres, direcciones, nombres de archivos, directorios de descarga, subidos, de trabajo.
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Metodología para identificación, preservación, análisis y presentación de la evidencia digital.
Preservación de la evidencia
El objetivo principal es asegurar que no se ha realizado ningún cambio desde que la evidencia fué recolectada.
* ¿Desenchufar o “apagar” el sistema?
* Una Fuente de poder es necesaria (PDAs)
* Proporcionar evidencia en su estado inicial.
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Metodología para identificación, preservación, análisis y presentación de la evidencia digital.
Preservación de la evidencia
¿Qué es un Hash?
Se refiere a una función o método para generar claves que representen de manera casi unívoca a un documento, registro, archivo, etc., resumir o identificar un dato a través de la probabilidad, utilizando una función hash o algoritmo hash. Un hash es el resultado de dicha función o algoritmo.
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Metodología para identificación, preservación, análisis y presentación de la evidencia digital.
Preservación de la evidencia
Estado de la preservación de la evidencia
1. Montar el medio sospechoso en modo solo lectura
2. Calcular el hash MD5 para todo el dispositivo.
3. Crear una copia bit – bit del medio.
4. Desmontar el medio y retornarlo al reciento de evidencias.
Se deben tomar precauciones
extras para proteger el medio y
el hash original.
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Metodología para identificación, preservación, análisis y presentación de la evidencia digital.
Análisis de la evidencia
¿El hash de la copia concuerda con el hash original?
Se debe de desarrollar un sentido de donde buscar primero, y poseer los conocimientos técnicos para extraer la información.
Saber donde buscar
No toda la evidencia es clara y disponible facilmente. El tipo de evidencia depende del objetivo de la investigación.
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Metodología para identificación, preservación, análisis y presentación de la evidencia digital.
Análisis de la evidencia
Algunos tipos de herramientas necesarias en el proceso del análisis de la evidencia:
* Visores
* Verificadores de extensión
* Herramientas de recuperación
* Herramientas de búsqueda
Nos enfrentamos a un “mar de datos”.
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Metodología para identificación, preservación, análisis y presentación de la evidencia digital.
Análisis de la evidencia
EnCASE - $3600 standar / $2850 Government
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Metodología para identificación, preservación, análisis y presentación de la evidencia digital.
Análisis de la evidencia
The Sleuth Kit / Autopsy - $0 Software Libre
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Metodología para identificación, preservación, análisis y presentación de la evidencia digital.
Presentación de la evidencia
* Conocer a la Audiencia
Hacer nuestra tarea
Leer el reciento
Apuntar a los objetivos
* Organización de la presentación
* Mantener simplicidad
Método KISS “keep it simple, stupid”.
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Metodología para identificación, preservación, análisis y presentación de la evidencia digital.
Presentación de la evidencia
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Metodología para identificación, preservación, análisis y presentación de la evidencia digital.
Presentación de la evidencia
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Arrestado por una Fotografía digital
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
¿Servicios sexuales de adolescentes en Trujillo?
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
¿Cómo se puede obtener “demasiada” información de una imagen?
¿EXIF?
Exchangeable Image File Format, es una especificación para formatos de archivos de imagen usados por las cámaras digitales. La especificación usa los formatos JPEF, TIFF y RIFF, a los que agrega TAGS específicos de metadatos.
Fecha Hora
Configuración de la cámara
Información de localización proviene de un GPS conectado a la cámara
Información del Copyright
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
¿Cómo se puede obtener “demasiada” información de una imagen?
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
¿Cómo se puede obtener “demasiada” información de una imagen?
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Rastreo de correos electrónicos & mensajes de texto en telefonía celular
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Rastreo de correos electrónicos
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Rastreo de correos electrónicos & mensajes de texto en telefonía celular.
¿Como funciona el correo electrónico?
Conceptos Previos
MTA: Mail Transport Agent (Agente de Transporte de Correo) Programa de cómputo para transferir correo.
MUA: Mail User Agent (Agente de correo del usuario) Programa de computadora utilizado para manejar correo.
MDA: Mail delivery Agent (Agente de entrega de correo) Software que entrega mensajes después de haber sido aceptados por el servidor.
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Rastreo de correos electrónicos & mensajes de texto en telefonía celular.
¿Como funciona el correo electrónico?
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Rastreo de correos electrónicos & mensajes de texto en telefonía celular.
¿Cómo se rastrea un correo electrónico?
Conceptos Previos
¿Qué es una Dirección IP?
Una dirección IP es un número que identifica de manera lógica y jerárquica a una interfaz de un dispositivo (una computadora) dentro de una red que utilice el protocolo IP.
A través de internet, las computadoras se conectan entre sí mediantes sus respectivas direcciones IP.
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Rastreo de correos electrónicos & mensajes de texto en telefonía celular.
¿Cómo se rastrea un correo electrónico?
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Rastreo de correos electrónicos & mensajes de texto en telefonía celular.
¿Cómo obtengo información de una dirección IP?
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Rastreo de correos electrónicos & mensajes de texto en telefonía celular.
¿Cómo dificultar el rastreo de un correo electrónico?
* Utilizando Servidores de correo que permitan “relay”
* Utilizando un puente de varios servidores para ocultar la verdadera direccón IP.
* Utilizando aplicaciones con fallas que permitan ser explotadas para enviar correo.
* Utilizando Cabinas publicas.
* Utilizando proxys, o redes de anonimato.
* Utilizando cuentas de “one way” un solo uso.
* “Imaginación”
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Rastreo en telefonía celular
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Rastreo de correos electrónicos & mensajes de texto en telefonía celular.
¿Que puedes hacer con un teléfono celular?
* Guardar información de contáctos
* Mantener apuntes o recordatorios
* Utilizarlo como una simple calculadora matemática
* Enviar y recibir correo electrónico
* Obtener información; clima, noticias, de internet
* Jugar, escuchar música
* Enviar mensajes de texto
* “Y tambíen hacer llamadas”
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Rastreo de correos electrónicos & mensajes de texto en telefonía celular.
¿Qué es la telefonía celular?
Está formada basicamente por: Una red de comunicaciones (red de telefonía móvil) y los terminales (teléfonos móviles).
La Red de telefonía móvil consiste en un sistema telefónico en el que la combinación de una red de estaciones transmisoras/receptoras de radio (estaciones base) y una serie de centrales telefónicas de conmutación, se posibilita la comunicación entre terminales telefónicos móviles (teléfonos móviles).
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Rastreo de correos electrónicos & mensajes de texto en telefonía celular.
¿Cómo funciona la red de telefonia móvil?
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Rastreo de correos electrónicos & mensajes de texto en telefonía celular.
¿Cómo se realiza la triangulación?
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Rastreo de correos electrónicos & mensajes de texto en telefonía celular.
¿Cómo se realiza interceptación de
celulares?
*Interceptación de
comunicaciones GSM.
*Intercepta llamadas de
otro paises.
*Intercepta SMS, Fax y también e-mail
*Versión estándar puede interceptar 4
canales en full duplex, es decir 4
comunicaciones simultaneas.
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Rastreo de correos electrónicos & mensajes de texto en telefonía celular.
Cómputo Forense en dispostivos móviles.
¿Qué es tarjeta SIM?
Módulo de Identificación del subscriptor, es una tarjeta inteligente desmontable usada en teléfonos celulares.
Tarjeta SIM con aplicaciones adicionales tienen capacidades de 16KB 32Kb hasta 512KB.
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Rastreo de correos electrónicos & mensajes de texto en telefonía celular.
Cómputo Forense en dispostivos móviles.
¿Qué es la IMEI?
Indentidad Internacional del equipo celular, en un código pregrabado en los teléfonos GSM: Esto identifica al aparato a nivel mundial y es transmitido al conectarse a la red.
La empresa operadora puede usar el IMEI para verificar el estado del aparato mediante una base de datos denominada EIR (Registro de identidad del equipo).
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Rastreo de correos electrónicos & mensajes de texto en telefonía celular.
Cómputo Forense en dispostivos móviles.
Ejemplo de la adquisición de un IMEI
Los datos lógicos en bruto adquiridos de un teléfono o SIM están codificados de manera no convencional como un texto en alfabeto GSM de 7bit, y difíciles de interpretar.
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Rastreo de correos electrónicos & mensajes de texto en telefonía celular.
Cómputo Forense en dispostivos móviles.
¿Qué Software se utiliza? Lector Forense de Tarjetas
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Rastreo de correos electrónicos & mensajes de texto en telefonía celular.
Cómputo Forense en dispostivos móviles.
¿Qué se utiliza? Software Integrado
Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Rastreo de correos electrónicos & mensajes de texto en telefonía celular.
Cómputo Forense en dispostivos móviles.
¿Qué se utiliza? Obtención de celulares
Números de serie IME, IMSI, llamadas marcadas, recibidas, libreta de dirección, (en handset y SIM), SMS borrados, imagenes, videos, etc etc etc.
Muchas Gracias por su atención...
Alonso Eduardo Caballero Quezada
http://alonsocaballero.informatizate.net
Noviembre, 2007Trujillo - Perú