Notas sobre informática forense Versión 1 0 16

Texto completo

(1)22 2016. NOTAS SOBRE INFORMÁTICA FORENSE. VERSIÓN 1.0.16 José Waldo de la Ossa Rubén Enrique Baena Navarro Universidad Cooperativa de Colombia Sede Montería. NOTA LEGAL. El presente documento de trabajo ha sido incluido dentro de nuestro repositorio de literatura gris por solicitud del autor, con fines informativos, educativos o académicos. Asimismo, los argumentos, datos y análisis incluidos en el texto son responsabilidad absoluta del autor y no representan la opinión del Fondo Editorial o de la Universidad.. DISCLAIMER. This coursework paper has been uploaded to our grey literature repository due to the request of the author. This document should be used for informational, educational or academic purposes only. Arguments, data and analysis included in this document represent authors’ opinion not the Press or the University.. Documentos de docencia | Course Work coursework.ucc.edu.co N.° 22, noviembre de 2016 doi: http://dx.doi.org/10.16925/greylit.1903.

(2) Acerca de los autores José Waldo de la Ossa, candidato a Magíster en Tecnología de la Información y las Comunicaciones. Profesor, Ingeniería de Sistemas, Universidad Cooperativa de Colombia, sede Montería, Colombia. Correo electrónico: [email protected] Rubén Enrique Baena Navarro, Magíster en Software Libre, estudiante de Doctorando en Proyectos. Profesor, Ingeniería de Sistemas, Universidad Cooperativa de Colombia, sede Montería, Colombia. Correo electrónico: [email protected]. Cómo citar este documento J. W. de la Ossa y R. Baena Navarro. Notas sobre informática forense. Versión 1.0.16. (Documento de docencia N° 22). Bogotá: Ediciones Universidad Cooperativa de Colombia, 2016. doi: http://dx.doi. org/10.16925/greylit.1903. Este documento puede ser consultado, descargado o reproducido desde nuestro repositorio de documentos de trabajo (http:// coursework.ucc.edu.co) para uso de sus contenidos, bajo la licencia de Creative Commons Reconocimiento-No Comercial-Sin Obra Derivada 4.0 Internacional. http://creativecommons.org/ licenses/by-nc-nd/4.0/ BY. NC. ND.

(3) TABLA DE CONTENIDO Introducción Objetivos. 7 7. 1. Introducción a la informática forense 1.1. Algunas definiciones 1.2. ¿Qué es un delito informático? 1.3. Clasificaciones del delito informático 1.4. Ley 1273 del 2009 1.5. Evidencia digital 1.6. Procedimientos 1.7. Fases de la informática forense 1.8. La cadena de custodia de las evidencias digitales 1.9. Algunas herramientas 1.10. Retos 1.11. Actividad - Introducción a la informática forense Referencias. 8 8 8 8 8 9 10 10 11 13 13 14 14. 2. Una perspectiva de tres roles 2.1. El intruso 2.2. El administrador 2.3. El investigador Referencias. 15 15 15 15 16. 3. El intruso y sus técnicas 3.1. Breve historia de los hackers 3.2. La mente de los intrusos 3.3. Técnicas básicas y avanzadas de hacking 3.4. Identificación de rastros de los ataques 3.5. Actividad – Footprinting, enumeración y descubrimiento de vulnerabilidades Referencias. 17 17 19 19 21. 4. El investigador y la criminalística digital 4.1. Roles y responsabilidades del investigador forense en informática 4.2. Modelos y procedimientos para adelantar investigaciones forenses en informática 4.3. Credenciales para los investigadores forenses en informática 4.4. Informes de investigación y presentación de pruebas informáticas 4.5. Actividad - Creación de imagen forense con sistemas Windows Referencias. 29 29. 22 28. 29 30 31 33 37.

(4) 5. Retos y riesgos emergentes para la computación forense 5.1. Confiabilidad de las herramientas forenses en informática 5.2. Técnicas anti-forenses y sus implicaciones para las investigaciones actuales y futuras 5.3. Actividad - Métodos de cifrado simétrico en entorno Windows 5.4. Actividad - Lectura y socialización del informe de la Interpol 5.5. Actividad - Taller grupal (computación en la nube) Referencias. 38 38. Conclusiones. 47. 38 39 45 45 46.

(5) ÍNDICE DE FIGURAS Figura 1. Figura 2. Figura 3. Figura 4. Figura 5. Figura 6. Figura 7. Figura 8. Figura 9. Figura 10. Figura 11. Figura 12. Figura 13. Figura 14. Figura 15. Figura 16. Figura 17. Figura 18. Figura 19. Figura 20. Figura 21. Figura 22. Figura 23. Figura 24. Figura 25. Figura 26. Figura 27. Figura 28. Figura 29. Figura 30. Figura 31. Figura 32. Figura 33. Figura 34. Figura 35. Figura 36. Figura 37.. Características del administrador de sistemas. 15 El perfil del investigador. 15 Prueba comando “ping”. 22 Elaboración de una traza. 23 Prueba comando “nslookup”. 23 Identificación de puertos abiertos con Nmap. 24 Identificación de servicios y versión con Nmap. 24 Ejecución Nmap con varios parámetros. 25 Creación imagen forense con ftk Imager. 34 Cálculo del hash MD5 y SHA1 con ftk Imager. 34 Uso de la herramienta Live View. 36 Incompatibilidad de la herramienta Live View con el sistema operativo. 36 Análisis de la imagen forense desde ftk Imager. 36 Unidades de disco a cifrar. 39 Sistema de archivo que se puede cifrar. 39 Directorio a cifrar. 40 Opción a seleccionar, Opciones avanzadas. 40 Opción a seleccionar, Atributos avanzados. 40 Carpeta cifrada. 40 Archivos cifrados. 41 Exportación del certificado digital del pc 1. 41 Exportación del certificado digital del pc 2. 41 Exportación del certificado digital del pc 3. 41 Asignación de contraseña para el certificado digital. 42 Finalización del proceso de exportación del certificado digital del pc 1. 42 Finalización del proceso de exportación del certificado digital del pc 2. 42 Finalización del proceso de exportación del certificado digital del pc 3. 42 Certificado digital del pc. 43 Unidad a cifrar con BitLocker. 43 Activación de BitLocker desde el menú contextual. 43 Asignación de contraseña para desbloqueo de BitLocker. 44 Copia de seguridad de la contraseña para desbloqueo de BitLocker 1. 44 Copia de seguridad de la contraseña para desbloqueo de BitLocker 2. 44 Cifrado con BitLocker. 44 Progreso de cifrado con BitLocker. 45 Finalización de cifrado con BitLocker. 45 Disco cifrado con BitLocker. 45.

(6) 22. NOTAS SOBRE INFORMÁTICA FORENSE. VERSIÓN 1.0.16 José Waldo de la Ossa Rubén Enrique Baena Navarro. RESUMEN En la informática, las redes de computadores e Internet reúnen todas las características que los convierten en el medio perfecto e idóneo para la comisión de nuevos delitos. De hecho, las noticias muestran a diario la utilización de estos nuevos medios por parte de personas del común, estudiantes, empresarios, hasta estructuras del crimen organizado y organizaciones terroristas de orden internacional, para cometer delitos, estafas electrónicas, fraudes, suplantaciones, secuestro digital, extorciones virtuales, etc. En los últimos tiempos, la seguridad de la información ha experimentado cambios muy importantes en el foco principal de su atención e implicación en la sociedad, todo ello a la vista de la sucesión de hechos delictivos, variaciones éticas en el comportamiento del ser humano, falta de una concienciación adecuada y del propio devenir tecnológico que lo afecta. Estos cambios introducen nuevos paradigmas como: seguridad centrada en la nube, aplicaciones móviles, el internet de las cosas, malware especializados, amenazas a infraestructuras críticas. Todo lo anterior obliga a que se cuente con personas más preparadas y con mayor experticia en campos como la seguridad informática, la computación forense, ciberseguridad y ciberterrorismo, para que coadyuven a la mitificación de estas amenazas reales y develen las causas y los responsables después de ocurrido un delito informático. Palabras clave: análisis forense, cadena de custodia, computación forense, delito informático, evidencia digital..

(7) Nota de clase · 7. Introducción Hoy en día, las personas dependen en gran medida de dispositivos electrónicos y del Internet para realizar sus actividades académicas, laborales, domésticas y personales; en fin, casi toda actividad se encuentra asociada a estos aparatos, lo que aumenta el riesgo de ser víctimas potenciales, ya sea de una simple falla que imposibilite el acceso a nuestros datos, o de un robo, fraude, secuestro, extorsión o chantaje a través de los medios digitales. La seguridad de la información y una de sus ramas, la computación forense, cobran entonces gran importancia, dado a que se convierten en el mecanismo que permite establecer las causas, la metodología y el responsable del delito. Adicionalmente, proporcionan las herramientas necesarias para la recuperación del activo más valioso: la información.. El presente documento trata sobre los conceptos básicos alrededor de la informática forense, como también de la metodología y buenas prácticas para llevar a cabo un análisis forense. También se muestran algunas herramientas reconocidas mundialmente que tienen validez ante un juez a la hora de sustanciar un delito informático.. OBJETIVOS •. Estudiar los principales conceptos de la computación forense.. •. Conocer los aspectos relevantes de la práctica de la informática forense.. •. Identificar la metodología para la ejecución del análisis forense.. •. Conocer algunas prácticas antiforenses..

(8) 8 · Serie documentos de docencia. 1. Introducción a la informática forense 1.1. ALGUNAS DEFINICIONES •. •. •. Computer Forensics (computación forense). Esta disciplina hace énfasis en consideraciones forenses y especialidades técnicas tomando las tareas propias asociadas a la evidencia. Procura descubrir e interpretar información para establecer los hechos y formular hipótesis, analizando la información residente en equipos de computación tecnológicos y procurando el esclarecimiento y la interpretación de la información [1]. Network Forensics (forensia en redes). Comprende la manera en que los protocolos, las configuraciones y las infraestructuras de comunicaciones se conjugan para establecer los rastros, movimientos y acciones que un intruso ha desarrollado para concluir su acción [2]. Digital Forensics (forensia digital). Es una nueva especialidad que pretende aplicar conceptos, estrategias y procedimientos de la criminalística tradicional a los medios informáticos especializados para apoyar a la justicia en su lucha contra delincuentes, esclarecimiento de hechos, incidentes, fraudes e inseguridad informática [2].. informático o alguna de sus partes componentes, que tenga como finalidad causar una lesión o poner en peligro un bien jurídico cualquiera” [4]. Los delitos informáticos son “toda conducta que revista características delictivas, es decir, sea típica, antijurídica y culpable, y atente contra el soporte lógico de un sistema de procesamiento de información, sea sobre programas o datos relevantes, a través del empleo de las tecnologías de la información, y el cual se distingue de los delitos computacionales o tradicionales informatizados” [4].. 1.3. CLASIFICACIONES DEL DELITO INFORMÁTICO Los delitos informáticos se pueden clasificar en los siguientes grupos de delitos: •. •. •. 1.2. ¿QUÉ ES UN DELITO INFORMÁTICO? Se puede considerar que un delito informático es “cualquier comportamiento antijurídico, no ético o no autorizado, relacionado con el proceso automático de datos y/o transmisión de datos” [3]. “Delincuencia informática es todo Acto o conducta ilícita e ilegal que pueda ser considerada como Criminal, dirigida a alterar, socavar, destruir, o manipular, cualquier sistema. Fraudes cometidos mediante manipulación de computadores. Entre estos se encuentran la manipulación de datos de entrada y salida y la manipulación de programas. En cada caso, lo que se trata es de colocar datos falsos en un sistema u obtener los datos del sistema de forma ilegal [6]. Falsificaciones informáticas. En este punto se trata de usar los computadores como elemento para falsificar entradas, dinero, tickets o cuentas bancarias. Daños a datos computarizados. Aquí se ubican los virus, las bombas lógicas, los gusanos, accesos no autorizados, etc. Se trata, en general, de programas o acciones que de una u otra forma dañan la información de un sistema determinado.. 1.4. LEY 1273 DEL 2009 En Colombia, existe la Ley 1273 con la cual se modificó el código penal y se ahondó en lo relativo al delito informático. Para tener un mejor conocimiento de la ley, esta se cita.

(9) Nota de clase · 9. exacta tal y como se rige: “Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado –denominado ‘de la protección de la información y de los datos’– y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones” [7].. 1.5. EVIDENCIA DIGITAL Es la materia prima para los investigadores, en la que la tecnología informática es parte fundamental del proceso. Presenta características propias: la evidencia digital es volátil, anónima, duplicable, alterable, modificable y eliminable. Es posible dividirla en tres categorías: 1) registros almacenados en el equipo (correos electrónicos, archivos, imágenes, entre otros); 2) registros generados por los equipos (registros de auditoría, transacciones, eventos, entre otros; y 3) registros que han sido generados y almacenados parcialmente en el equipo (hojas de cálculo, financieras, consultas de bases de datos, entre otros) [2]. De acuerdo con Guidelines for the Management of it Evidence [8], la evidencia digital es: “Cualquier información, que sujeta a una intervención humana u otra semejante, ha sido extraída de un medio informático”. En este sentido, evidencia digital es un término utilizado de manera amplia para describir “cualquier registro generado por o almacenado en un sistema computacional que puede ser utilizado como evidencia en un proceso legal” [8]. La evidencia es uno de los aspectos fundamentales a la hora de afrontar un forense; es necesario contar con evidencias válidas. Todas las evidencias son inicialmente válidas, pero una mala práctica puede llegar a invalidarlas. Hay que tener presente en todo el procedimiento que el perito debe gozar y contar con el principio de independencia [9].. Normalmente, los escenarios a los que se enfrenta el investigador forense requieren de la copia de varios medios de almacenamiento (bien sea por la configuración del equipo o por saber de la existencia de archivos, pero no conocer dónde están ubicados y encontrarse en el escenario con múltiples medios), con lo cual debe tener habitualmente presente esa circunstancia. Este hecho no puede tomarse a la ligera (copiar todo lo existente) puesto que el tiempo invertido será alto y el costo en recursos también. El proceso de copiado de un disco (o bien de determinados archivos) no puede hacerse de cualquier manera, sino que, por el contrario, hay que garantizar que: •. •. •. Las copias por realizar deben ser idénticas y sin ninguna alteración del origen ni del destino. Se copie también el supuesto espacio libre. Muchas veces puede aparecer allí información interesante, sobre todo, en circunstancias de uso de herramientas de tipo antiforense. Se aplique una función hash sobre la información copiada [8].. Esto último es vital porque garantiza que las conclusiones a las que se lleguen a partir de las evidencias adquiridas partan de un disco o fichero idéntico al original y, por lo tanto, que no se dé una manipulación del mismo tras la copia binaria. Con respecto a esto, el planteamiento inicial siempre debe consistir en determinar cuántas copias deberían realizarse. Es recomendable que se realicen un mínimo de dos, además de mantener el original. Una de las copias estará destinada al analista forense, la otra copia debería ser para la empresa o el afectado y el original que deberá salvaguardarse. Para esta última, existen varias posibilidades. Podrá presentarse junto a la denuncia, quedar en manos de un notario que dé fe del hecho o bien, podría ser almacenado por la organización con las garantías de seguridad debidas, teniendo en cuenta su importancia de cara al posterior juicio [9]..

(10) 10 · Serie documentos de docencia. El hash1 (función de resumen) garantizará que la información contenida en el medio de almacenamiento no ha sido manipulada y por lo tanto las pruebas son reproducibles si llegara el caso la realización de una prueba contrapericial. Existen algoritmos para realizar esta tarea, pero se recomienda el uso de al menos sha-1 (Secure Hash Algorithm) para ello [9].. •. Las herramientas enfocadas al procedimiento de copiado utilizan habitualmente la función dd para el copiado. Esto se realiza bien por la clonación del disco físico o las unidades lógicas, o bien generando un único fichero de imagen que se pueda tratar directamente con las herramientas forenses [9].. 1.6. PROCEDIMIENTOS Se han detallado de manera básica algunos elementos que deben ser considerados para mantener la idoneidad del procedimiento forense adelantado. Algunos de estos procedimientos son: •. •. Esterilización de los medios informáticos de trabajo. La esterilidad de los medios es una condición fundamental para el inicio de cualquier procedimiento forense en informática, ya que la posible contaminación de alguno de ellos puede causar una mala interpretación o análisis erróneo [2]. Verificación de las copias en medios informáticos. Las copias efectuadas que se tomen como evidencia deben ser idénticas al original y deben encontrarse respaldadas por métodos y procedimientos matemáticos, para lo cual se sugiere. 1 Algoritmos que consiguen crear a partir de una entrada (ya sea un texto, una contraseña o un archivo, por ejemplo) una salida alfanumérica de longitud normalmente fija que representa un resumen de toda la información que se le ha dado (es decir, a partir de los datos de la entrada crea una cadena que solo puede volverse a crear con esos mismos datos). https://www.genbetadev.com/ seguridad-informatica/que-son-y-para-que-sirven-los-hash-funciones-de-resumen-y-firmas-digitales. utilizar algoritmos y técnicas basadas en firmas digitales que comprueben la exactitud e integridad de la copia con el documento original, además de verificar la taza de efectividad del software utilizado para esta labor [2]. Documentación de los procedimientos, herramientas y resultados sobre los medios informáticos analizados. Cada uno de los pasos realizados, las herramientas utilizadas y los resultados obtenidos del análisis de los datos, deben estar claramente documentados y validados, con la finalidad de que un tercero logre reproducir los resultados utilizando la misma evidencia [2].. 1.7. FASES DE LA INFORMÁTICA FORENSE Considerando la fragilidad del insumo con el cual trabajan los especialistas en informática forense, es preciso extremar las medidas de seguridad y control que deben tener a la hora de adelantar sus labores pues cualquier imprecisión en las mismas puede comprometer el proceso, bien sea legal u organizacional. En este sentido, se detallan de manera básica algunos elementos que deben ser considerados para mantener la idoneidad del procedimiento forense adelantado: Los procedimientos llevados a cabo se dividen en las siguientes etapas: •. •. Etapa 1. Identificación: en el lugar de la escena en donde se realizó el ataque informático, se debe rotular, con sus respectivas características físicas, el elemento que va ser objeto del análisis forense para preservar el elemento –que puede ser desde un disquete o un disco rígido de un computador hasta un conjunto de discos de un servidor, un juego de cintas, o varias computadoras de una organización–. Etapa 2. Validación y preservación de los datos adquiridos: en primer lugar, el.

(11) Nota de clase · 11. •. investigador forense debe realizar lo que se denomina esterilización de medios informáticos de trabajo. Esta condición es fundamental para el inicio de cualquier procedimiento forense [2]. Ahora bien, con los elementos identificados se procede a realizar una imagen exacta (bit a bit) del contenido de la evidencia asignando un código único correspondiente a una combinación única de bytes (hash) que constituye la totalidad del medio en observación. Este código de validación ha de ser lo suficientemente complejo como para evitar vulneraciones en la información rescatada e impedir que cualquier auditor pueda verificar por su cuenta la autenticidad de la imagen tomada, es decir, crear un código que solamente personal calificado y legalmente autorizado pueda manipular para proteger el elemento a analizar; esto con el fin de establecer una cadena de custodia consistente. Desde este momento ya se pueden efectuar copias exactamente iguales de la imagen para que diferentes actores puedan conservar una copia de seguridad. Etapa 3. Análisis y descubrimiento de evidencia: se procede a realizar una colección de pruebas en el laboratorio sobre la copia validada. Es posible analizar y buscar información a muchos niveles. El punto de partida del análisis comienza al detectar un tipo de ataque informático o la sospecha de manipulación no autorizada de información. Una actividad ilícita reportada puede ser el borrado de información que puede comprometer a una persona o información que pudo haber sido ocultada o almacenada en medios no convencionales como disquetes, cd-rom, dvd-rom, flash drive. El análisis forense está orientado por un caso en particular y aquí es necesaria la información que provee quien solicita la investigación forense. En el análisis forense, se pueden buscar:. •. archivos borrados, archivos creados, accedidos o modificados dentro de determinado rango de fechas; tipos de archivos con un formato particular que hayan sido alterados, por ejemplo archivos de un sistema de contabilidad renombrados como archivos de un procesador de texto, imágenes, mensajes de correo electrónico, actividad desarrollada en internet; a diferentes niveles, palabras claves tales como un número telefónico, el nombre de una ciudad o una empresa, etc. En base a este análisis, se determina un patrón de comportamiento del usuario en cuanto a la creación, modificación y borrado de mensajes, actividad de correo electrónico, etc. El mantenimiento de la cadena de custodia de las evidencias digitales complementa esta etapa del proceso y debe responder a una diligencia y una formalidad especial para documentar cada uno de los eventos que se han realizado con la evidencia. Quién la entregó, cuándo, en qué estado, cómo se ha transportado, quién ha tenido acceso a ella, cómo se ha efectuado la custodia, entre otras [2]. Etapa 4. Informe: se presenta un informe escrito en un lenguaje técnico y claro, en un cd accesible al usuario no especializado que presente de forma ordenada, la evidencia recuperada y su interpretación. Aunque a menudo se subestima la importancia de las etapas 1 y 2 y se considera la etapa 3 la específica de la informática forense, se debe tener en cuenta que la evidencia informática es por definición frágil y puede ser alterada haciendo que la misma pierda su validez frente a un tribunal.. 1.8. LA CADENA DE CUSTODIA DE LAS EVIDENCIAS DIGITALES La preservación de la cadena de custodia sobre la prueba indiciaria criminalística es obligación de la totalidad de los miembros.

(12) 12 · Serie documentos de docencia. del poder judicial, los operadores del derecho y sus auxiliares directos. Entre estos últimos, debemos incluir el personal de las fuerzas de seguridad, la policía judicial y el conjunto de peritos oficiales, de oficio y consultores técnicos o peritos de parte [10]. Así, la implementación de mecanismos efectivos de recopilación de evidencias debe incluir procedimientos que aseguren la confiabilidad de la información recolectada. Dicha confiabilidad incluye la trazabilidad (establecer un mecanismo que permita realizar un seguimiento estricto de los elementos probatorios, desde su detección hasta el momento de su disposición definitiva), confidencialidad, autenticidad, integridad y no repudio de los datos. En términos sencillos, implica establecer mecanismos de garantía de que los elementos probatorios ofrecidos como prueba documental informática son confiables, es decir, que no han sufrido alteración o adulteración alguna desde su recolección [10]. Consideramos la cadena de custodia como un procedimiento controlado que se aplica a los indicios materiales (prueba indiciaria) relacionados con un hecho delictivo o no, desde su localización hasta su valoración por parte de los encargados de administrar justicia, y que busca asegurar la inocuidad y la esterilidad técnica en el manejo de los mismos, evitando alteraciones, sustituciones, contaminaciones o destrucciones, hasta su disposición definitiva por orden judicial [10]. Con este fin, es necesario establecer un riguroso y detallado registro que identifique la evidencia y sus poseedores, indicando el lugar, la hora, la fecha, el nombre y la dependencia involucrada en el secuestro, la interacción posterior y su depósito en la sede que corresponda (judicial o no). Si carece de alguno de estos componentes, la prueba documental informática recolectada no habrá alcanzado el valor probatorio pretendido. Es importante considerar el valor de los indicios recabados. en el proceso de investigación, análisis y argumentación del cual dependen [10]. La cadena de custodia informático-forense tiene por objeto asegurar que la prueba ofrecida cumple con los requisitos exigibles procesalmente para la misma, y por ello debe garantizar: a. Trazabilidad •. •. •. Humana (determinación de responsabilidades en la manipulación de la prueba, desde su detección y recolección hasta su disposición final) Física (incluyendo la totalidad de los equipos locales o remotos involucrados en la tarea, sean estos de almacenamiento, procesamiento o comunicaciones) Lógica (descripción y modelización de las estructuras de distribución de la información accedida y resguardada). b. Confiabilidad (integridad, autenticidad, confidencialidad, no repudio) Se debe realizar una documentación de todos los eventos que se han realizado con la evidencia de un caso. Quién la entregó, cuándo, en qué estado, cómo se ha transportado, quién ha tenido acceso a ella, cómo se ha efectuado su custodia, entre otros, que constituyen los aspectos que se deben documentar acerca de las pruebas [2].. Informe y presentación de resultados de los análisis de los medios informáticos La claridad, el uso de un lenguaje amable y sin tecnicismos, una redacción impecable sin juicios de valor y una ilustración pedagógica de los hechos son elementos críticos a la hora de defender un informe de las investigaciones.. Administración del caso realizado En algún momento de un determinado caso, el investigador forense en informática será.

(13) Nota de clase · 13. llamado a declarar ante un jurado o juicio, por ello es de suma importancia mantener bien documentado el expediente del caso y así salvaguardar los resultados de las investigaciones, demostrando seguridad y profesionalismo en la labor desarrollada.. Auditoría de los procedimientos realizados en la investigación Es necesario realizar ejercicios de autoevaluación de los procedimientos realizados utilizando el ciclo de calidad: phva (planear, hacer, validar y actuar), empleándolo como constante para incrementar la confiabilidad y cuestionar las prácticas y técnicas propias con el fin de obtener mejoras en nuestro ejercicio como profesionales.. 1.10. RETOS La informática forense es un desafío interdisciplinario que requiere un estudio detallado de la tecnología, los procesos y los individuos que permitan la conformación de un cuerpo de conocimiento formal, científico y legal que apoye a la justicia en el esclarecimiento de hechos, incidentes o fraudes informáticos en las organizaciones. Dentro de esos retos, tenemos [2]: •. •. 1.9. ALGUNAS HERRAMIENTAS Las herramientas informáticas son la base esencial de los análisis de las evidencias digitales en los medios informáticos. Estas deben permitir validar, tanto la confiabilidad de los resultados como la formación y el conocimiento del investigador que las utiliza.. TABLA 1 Herramientas utilizadas en procedimientos forenses en informática. Licencia Imagen Encase Forensic Toolkit Winhex Sleuth Kit. Control de Análisis integridad Sí Sí. Administración del caso Sí. Sí. Sí. Sí. Sí. Sí. Sí. Sí. Sí No. Sí Sí. Sí Sí. Sí Sí. Sí Sí. Fuente: [1]. • • • •. Encase. https://www.guidancesoftware. com/es/encase-forensic Forensic Toolkit. http://accessdata.com/ products-services/forensic-toolkit-ftk Winhex. http://www.x-ways.net/forensics/index-m.html Sleuth kit. http://www.sleuthkit.org. •. El reconocimiento de la evidencia digital como evidencia forma y válida. En muchas partes del mundo, la evidencia digital no tiene validez, es una situación problemática para la justicia. Es por ello que la evidencia digital es un elemento que requiere un tratamiento especial y debe estar articulada en las organizaciones. Los mecanismos y estrategias de validación y confiabilidad de las herramientas forenses en informática. Las herramientas utilizadas en investigación forense cumplen una función importante para esclarecer los hechos, sin embargo, el software es inherente y tiende a ser frágil y vulnerable. Es por ello que es necesario que la comunidad académica y científica se esfuerce con el propósito de desarrollar herramientas más confiables y predecibles para las investigaciones. Formación de especialistas en informática forense. Idealmente, que apoye labores de peritaje informático tanto en la administración de justicia como en investigaciones organizacionales internas. Para la formación de especialistas en el área, se requiere un amplio estudio interdisciplinario, con profesionales de derecho, criminalística, las tecnologías y seguridad de la información, así como otras disciplinas académicas que puedan ayudar a la formación de estos nuevos profesionales..

(14) 14 · Serie documentos de docencia. 1.11. ACTIVIDAD - INTRODUCCIÓN A LA INFORMÁTICA FORENSE •. •. • •. ¿Cuáles son los escenarios que propician lo que se conoce como intrusiones informáticas? Elabore un cuadro en el cual se establezcan las similitudes y diferencias entre Computer Forensics, Network Forensics y Digital Forensics. ¿Qué se entiende por evidencia digital?, ¿cuáles son sus categorías? ¿Cuáles son las características de la evidencia digital? Explique brevemente.. •. •. •. •. ¿Cuáles son los elementos a considerar para garantizar la idoneidad en el procedimiento de manejo de evidencia digital? Elabore un cuadro en el que se relacionen otras herramientas utilizadas en el procedimiento de informática forense. Elabore un cuadro comparativo que muestre los aspectos más sobresalientes de los siguientes roles: El informático forense, el intruso y el investigador. Cite tres (3) retos que usted considere que tiene hoy día la informática forense.. REFERENCIAS [1] J. J. Cano, Computación forense: descubriendo los rastros informáticos, 1º ed., Bogotá: Alfaomega, 2009. [2] J. J. Cano, Computación Forense: descubriendo los rastros informáticos, 2º ed., Bogotá: Alfaomega, 2015. [3] A. Gómez. Enciclopedia de la seguridad informática, 1º ed., México: Alfaomega Grupo Editor, S.A., 2007. [4] J. E. Ojeda-Pérez, F. Rincón-Rodríguez, M. E. Arias-Flórez y L. A. Daza-Martínez. (2010). Delitos informáticos y entorno jurídico vigente en Colombia. Cuadernos de Contabilidad, [En línea]. 11 (28), p. 41-66. Disponible en: http://www.scielo.org.co/pdf/cuco/v11n28/v11n28a03.pdf [5] R. Casabona. Poder informático y Seguridad jurídica. Madrid: Fundesco, 1987. [6] G. Beltramone, R. Herrera y E. Zabale, “Nociones básicas sobre los delitos informáticos”, en X Congreso Latinoamericano y II Iberoamericano de Derecho Penal y Criminología, Santiago de Chile, agosto, 1998. Disponible en http://rodolfoherrera.galeon.com/delitos.pdf [7] Congreso de Colombia. “Ley 1273 de 2009. Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado “de la protección de la información y de los datos”- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones”, Diario Oficial, no. 47.223, enero 5 de 2009. Disponible en http://www.alcaldiabogota. gov.co/sisjur/normas/Norma1.jsp?i=34492 [8] Guidelines for the Management of it Evidence: Handbook. Standards Australia International (S. A. International, Ed.), Australia, 2003, agosto 12. Disponible en http://unpan1.un.org/intradoc/groups/public/documents/ APCITY/UNPAN016411.pdf [9] J. L. García-Rambla. Un forense llevado a juicio. Madrid, España: Flu-Project y Sidertia, 2012. Disponible en: http://www.fluproject.hol.es/descargasDirectas/pdf/Un%20forense%20llevado%20a%20juicio.pdf [10] L. E. Arellano y C. M. Castañeda. (2012, jun.). La cadena de custodia informático-forense. Activa [En línea] 3, p. 67-81. Disponible en: http://ojs.tdea.edu.co/index.php/cuadernoactiva/article/viewFile/45/42.

(15) Nota de clase · 15. 2. Una perspectiva de tres roles 2.1. EL INTRUSO La faceta del intruso es una forma de aproximarse a cómo piensan, actúan y operan.. Conocer la mente y el actuar de los atacantes le ofrece al informático forense una ventaja estratégica y conceptual para reconocer o establecer patrones de análisis que ayuden a detallar lo que ha ocurrido y apoyar las investigaciones de un caso (tabla 2) [1].. TABLA 2. Características básicas de los intrusos Características Psicológicas. Técnicas. Intruso interno • Motivado por situación personal o laboral • Inestabilidad emocional • Socialmente hábil para recabar información y conocer a sus víctimas • Conocimiento detallado de fallas en procedimientos y regulaciones internas • Conocedor y estudioso de la operación de la organización y sus modelos de controles y procesos • Conocedor de los mecanismos de seguridad y control. Intruso externo • Generalmente motivado por el reto tecnológico y la compensación económica • Sensación de control y poder sobre un tercero • Relaciones basadas en conocimientos y logros • Conocedor y estudioso de las fallas tecnológicas de los sistemas objetivos • Conocedor y usuario de técnicas de evasión de investigaciones • Cuenta con un laboratorio de pruebas para verificar previamente sus acciones.. Fuente: [1]. 2.2. EL ADMINISTRADOR No es posible conocer los detalles de los rastros, sin adentrarse en la mente del administrador, el profesional de tecnologías de información a cargo de la administración y control de las máquinas involucradas (figura 1). En este papel, el investigador forense se enfrenta al reto de la inseguridad informática y sus diferentes fuerzas [1].. formal en los procedimientos y el uso de las herramientas disponibles, que no busca otra cosa que las relaciones y causales que pudieron llevar a materializar el caso (figura 2).. Herramientas. Creativo y focalizado. Formalización y actualización. Detallado y experimentado Analítico y formal. Buenas prácticas. Habilidades y competencias técnicas. Conciencia de seguridad y protección de activos. FIGURA 1. Características del administrador de sistemas. Fuente: [1]. 2.3. EL INVESTIGADOR Este es escéptico de lo obvio, observador, detallista y riguroso. Es un profesional científico,. Observador de lo evidente. Procedimientos. FIGURA 2. El perfil del investigador. Fuente: [1]. Como podemos ver, analizar al informático forense y sus acciones en estos tres roles nos permite recorrer los diferentes escenarios de la posible acción punible en medios tecnológicos, avanzando así hacia una renovación y una extensión de la criminalística tradicional que podría llamarse criminalística digital [1]..

(16) 16 · Serie documentos de docencia. REFERENCIAS [1] J. J. Cano, Computación forense: descubriendo los rastros informáticos, 1.º ed., Bogotá: Alfaomega, 2009..

(17) Nota de clase · 17. 3. El intruso y sus técnicas Los intrusos o hackers son los involucrados en los crímenes, cometen acciones maliciosas, ya sea robo de información, daño de sistemas operativos, entre otros. Los hackers están divididos en las siguientes categorías: ciberterroristas, phreakers, script kiddies, crackers, desarrolladores de virus y atacantes internos [1]. Si lográramos entrar a la mente de un intruso, podríamos encontrar que se enfoca en buscar puntos vulnerables de una red para hacer un ataque eficaz que produzca mucho más daño o problemas al afectado.. 3.1. BREVE HISTORIA DE LOS HACKERS En este apartado se exploran los orígenes de la cultura hacker, incluyendo los antecedentes de los “auténticos programadores”, los buenos tiempos del Laboratorio de Inteligencia Artificial del mit y cómo la antigua Arpanet dio lugar a la primera “nación de redes”. Se describe el auge inicial de Unix y su posterior estancamiento. La nueva esperanza que surgió en Finlandia y cómo el “último hacker auténtico” se convierte en patriarca de las nuevas generaciones. Se esboza también la manera en la que Linux y la popularización del Internet sacaron a la cultura hacker de los márgenes del conocimiento público hasta ocupar el lugar relevante que ostentan actualmente. Al principio, ellos fueron los “auténticos programadores”. No era así como se llamaban a sí mismos, tampoco hackers ni nada parecido. El sobrenombre “auténtico programador” (Real Programmer) se empleó recién en 1980 cuando uno de ellos lo mencionó de forma retrospectiva. Desde 1945, las tecnologías de la computación habían atraído a muchos de los cerebros más brillantes y creativos del mundo. Desde el primer computador eniac,. de Eckert y Mauchly, existió una cultura técnica de cierta continuidad, consciente de sí misma, compuesta por programadores entusiastas, personas que creaban y manipulaban software por pura diversión [1]. Los “auténticos programadores” provenían habitualmente de disciplinas como la ingeniería o la física y, con frecuencia, se trataba de radioaficionados. Llevaban calcetines blancos, camisas de poliéster con corbata y gafas gruesas, y programaban en código-máquina, en ensamblador, en Fortran y en media docena más de arcaicos lenguajes ya olvidados. Desde el fin de la Segunda Guerra Mundial hasta comienzos de los años setenta, en los felices días del procesamiento por lotes y las grandes supercomputadoras “de hierro”, los “auténticos programadores” constituyeron la cultura técnica dominante en el ámbito de la computación. Algunos vestigios venerados del folklore hacker datan de esta época, entre ellos, varias listas de las Leyes de Murphy y el póster germano-burlesco “Blinkenlights” que aún adorna muchas salas de computadoras. Algunas de las personas que crecieron en la cultura de los “auténticos programadores” permanecieron activos hasta bien entrados los años noventa. Seymour Cray, diseñador de la gama de supercomputadoras Cray, fue uno de los mejores. Se dice de él que, en cierta ocasión, introdujo de principio a fin un sistema operativo de su invención en una de sus computadoras, usando los conmutadores de su panel de control, en octal, sin un solo error... y funcionó. Un “macho supremo” entre los “auténticos programadores”. Sin embargo, la cultura de los “auténticos programadores” estaba demasiado ligada al procesamiento por lotes, concretamente al de tipo científico, y fue eclipsada por el auge de la computación interactiva, las universidades y las redes. Estas dieron lugar a otra tradición de la ingeniería que, con el tiempo,.

(18) 18 · Serie documentos de docencia. evolucionaría en la cultura hacker del código abierto que hoy conocemos.. Los primeros hackers Los comienzos de la cultura hacker, tal como la conocemos actualmente, se pueden fechar con seguridad en 1961, año en que el mit adquirió la primera pdp-1. El comité de Señales y Energía del Tech Model Railroad Club adoptó la computadora como su juguete tecnológico preferido e inventó herramientas de programación, un argot y toda una cultura en torno a ella que aun hoy puede reconocerse entre nosotros. Estos primeros años han sido examinados en la primera parte del libro de Steven Levy, Hackers [2]. La cultura en torno a las computadoras del mit parece haber sido la primera en adoptar el término hacker. Los hackers del Tech Model Railroad Club se convirtieron en el núcleo del Laboratorio de Inteligencia Artificial del mit, el centro más destacado de investigación sobre inteligencia artificial de todo el mundo a principios de los ochenta. Su influencia se extendió por todas partes a partir de 1969, año de creación de Arpanet [2]. Arpanet fue la primera red intercontinental de alta velocidad. Fue construida por el Departamento de Defensa estadounidense como un experimento de comunicaciones digitales, pero creció hasta interconectar a cientos de universidades, contratistas de defensa y centros de investigación. Permitió a investigadores de todas partes intercambiar información con una rapidez y flexibilidad sin precedentes, dando un gran impulso a la colaboración y aumentando enormemente el ritmo y la intensidad de los avances tecnológicos. Pero Arpanet hizo algo más. Sus autopistas electrónicas reunieron a hackers de toda Norteamérica en una masa crítica: en lugar de permanecer en pequeños grupos aislados desarrollando efímeras culturas locales, se. descubrieron (o reinventaron) a sí mismos como una tribu interconectada [2]. La cultura hacker floreció en las universidades conectadas a la red, especialmente (aunque no exclusivamente) en sus departamentos de Informática. El Laboratorio de ia del mit fue, prácticamente, el primero desde finales de los años sesenta. Pero el Laboratorio de Inteligencia Artificial de Stanford (sail) y la Universidad de Carnegie Mellon le siguieron muy de cerca. Todos fueron prósperos centros de informática e investigación sobre ia. Todos ellos atrajeron a gente brillante que hizo numerosas aportaciones a la cultura hacker, tanto en el ámbito técnico como en el folklórico. Otro nodo importante en la cultura fue el parc de Xerox, el célebre Centro de Investigación de Palo Alto (California). Durante más de una década, desde inicios de los setenta hasta la mitad de los ochenta, el parc produjo una sorprendente cantidad de hardware revolucionario e innovaciones en software. El ratón moderno, las ventanas y la interfaz gráfica basada en íconos se inventaron allí. También la impresora láser y las redes de área local. Y la serie D de computadoras del parc se anticipó a los potentes pc de los 80 en más de una década. Por desgracia, aquellos profetas carecieron de reconocimiento en su propia empresa. Tanto es así que se convirtió en broma habitual el describir el parc como el lugar donde se desarrollaban ideas brillantes para provecho de los demás. Su influencia en la cultura hacker fue profunda [2]. Las culturas alrededor de Arpanet y las pdp10 crecieron en fuerza y variedad durante los años setenta. Las herramientas de listas de correo electrónicas, que se habían usado para fomentar la cooperación intercontinental entre grupos de intereses comunes, fueron utilizándose cada vez más con propósitos sociales y recreativos. De forma consciente, Darpa hizo la vista gorda ante toda esta actividad “no autorizada”: comprendía que este.

(19) Nota de clase · 19. extra coste operativo era un precio asequible a cambio de atraer a toda una generación de jóvenes de talento al área de la informática.. 3.2. LA MENTE DE LOS INTRUSOS Los implementos para robar información son las computadoras conectadas en red, las telecomunicaciones. Predominan dos tipos de conductas: las que utilizan una herramienta informática o bien las que atacan a las herramientas [3]. Estas conductas podrían comprenderse mejor teniendo en cuenta que constituyen delitos graves en la mayoría de los países al plantearse desde el marco de la psicología jurídica, que según Del Popolo: “Es el estudio desde la perspectiva psicológica de conductas complejas y significativas en forma actual o potencial para lo jurídico, a los efectos de su descripción, análisis, comprensión, crítica y eventual actuación sobre ellas, en función de lo jurídico” [3]. El delincuente informático conoce la importancia que tienen los equipos, los sistemas y la información para la empresa. Accede de forma ilegal al sistema de la empresa y roba una base de datos. La roba porque la puede vender millones de veces sin dejar nunca de seguirla poseyendo. Una vez robada, extorsiona a la empresa pues a ningún inversionista le gustará enterarse a través de los periódicos que los sistemas informáticos de su empresa son fácilmente violables y a ningún cliente, que sus datos de tarjetas de crédito, domicilio o número celular pueden estar circulando por ahí. Un delincuente informático modifica, sustrae o destruye la información, o bien daña los sistemas informáticos como una manera de manifestarse contra la globalización o la guerra; otro, para vengarse de un despido; uno más, por la esperanza de que una vez probada. su pericia tecnológica, sea contratado por el Director de it de la empresa víctima del ataque; otros muchos, porque la empresa rival les ha pagado para infiltrar un virus, “tirar” la página web del competidor (denegación del servicio) u obtener sus secretos industriales. Incluso la pura amenaza de soltar un virus puede ser una forma de extorsión lucrativa [3].. 3.3. TÉCNICAS BÁSICAS Y AVANZADAS DE HACKING Footprinting El primer paso denominado Footprinting (fase 1) consiste en recopilar toda la información posible sobre el sistema auditado, por ejemplo, bloque de direcciones ip, mapa y registros dns, hosting, etc. [4]. Para ello, podemos usar bases de datos, whois, herramientas con línea como RobTex2, dnsdumpster3; esta última nos permite crear el mapa dns del dominio. Esta fase le permite al atacante crear una estrategia para su ataque [5]. Asimismo, esta fase puede incluir la Ingeniería Social, buscar en la basura (Dumpster diving), buscar qué tipo de sistema operativo y aplicaciones usa el objetivo o víctima, cuáles son los puertos que están abiertos, dónde están localizados los routers (enrutadores), cuáles son los host (terminales, computadoras) más accesibles. Puede buscar en las bases de datos de Internet (Whois) información 2 Robtex es una herramienta para encontrar toda la información sobre una página web a través del nombre o la IP, entre ellas, las páginas que comparten el servidor, si está en alguna lista negra, si se encuentra en Alexa o en DMOZ, información del Whois y otros muchos datos muy interesantes. Robtex utiliza un robot, que se llama robtexbot y captura el título y los metadatos de las webs que rastrea por internet. https://www.robtex.com/ 3 DNSDumpster del proyecto HackerTarget.com es una herramienta que, además de los subdominios, nos devolverá información del servidor DNS, registros MX, registros TXT y un interesante esquema de las relaciones del dominio analizado. http://www.hackplayers.com/2017/02/recopilatorio-para-descubrimiento-subdominios.html.

(20) 20 · Serie documentos de docencia. como direcciones de Internet (ip), nombres de dominios, información de contacto, servidores de email y toda la información que se pueda extraer de los dns (Domain Name Server). También en esta primera fase también se puede hacer búsquedas en Google o Bing.. Escaneo y enumeración Con la información previamente obtenida en la fase 1, se procura ahora conseguir información sobre los puertos y servicios habilitados sobre éstos (fase 2), para lo cual se utiliza la herramienta nmap, que sugiere puertos abiertos y el servicio habilitado [6].. Búsqueda y análisis de vulnerabilidades Para esta fase 3 de análisis, después de identificar las diferentes versiones de los servicios instalados en los servidores en la fase de enumeración, se procede con la búsqueda de posibles vulnerabilidades conocidas para las plataformas y versiones utilizadas por la victima que puedan ser aprovechadas por un atacante [6]. Por ejemplo, si en la fase 1 el atacante descubrió que su objetivo o su víctima usa el sistema operativo Windows xp, entonces buscará vulnerabilidades específicas que tenga ese sistema operativo para saber por dónde atacarlo [5].. Explotación La fase 4 es de las más importantes para el hacker porque es la fase de penetración al sistema. En esta fase, el hacker explota las vulnerabilidades que encontró en la fase 3. La explotación puede ocurrir localmente, offline (sin estar conectado), sobre el lan (Local Area Network) o sobre el Internet, y puede incluir técnicas como buffer overflows (desbordamiento de buffer), denial-of-service (negación de servicios), sesión hijacking (secuestro de sesión) y password cracking (romper o adivinar claves usando varios métodos como: dictionary attack y brute force [5].. Los factores que ayudan al hacker en esta fase a tener una penetración exitosa al sistema dependen de cómo es la arquitectura del sistema y de cómo está configurado el sistema objetivo o víctima: una configuración de seguridad simple significa un acceso más fácil al sistema. Otro factor a tener en cuenta es el nivel de destrezas, habilidades y conocimientos sobre seguridad informática y redes que tenga el hacker y el nivel de acceso que obtuvo al principio de la penetración.. Mantener el acceso Una vez el hacker gana acceso al sistema objetivo, su prioridad es mantener el acceso que ganó en el sistema. En esta fase 5, el hacker usa sus recursos y los recursos del sistema, emplea el sistema objetivo como plataforma de lanzamiento de ataques para escanear y explotar otros sistemas que quiera atacar. También utiliza programas llamados sniffers para capturar todo el tráfico de la red, incluyendo sesiones de telnet y ftp (File Transfer Protocol). En esta fase, el hacker puede tener la habilidad de subir, bajar y alterar programas y datos [5]. En esta fase, el hacker quiere permanecer indetectable y para eso remueve evidencia de su penetración al sistema y hace uso de Backdoor (puertas traseras) y Troyanos para ganar acceso en otra ocasión y tratar de tener acceso a cuentas de altos privilegios, como lo son las cuentas de Administrador. También usan los caballos de Troya (Trojans) para transferir nombres de usuarios, contraseñas e incluso información de tarjetas de crédito almacenada en el sistema.. Cubrir las huellas En esta fase 6, el hacker trata de destruir toda la evidencia de sus actividades ilícitas y lo hace por varias razones, entre ellas, seguir manteniendo el acceso al sistema comprometido, ya que si borra sus huellas los administradores.

(21) Nota de clase · 21. de redes no tendrán pistas claras del atacante y el hacker podrá seguir penetrando el sistema cuando quiera. Al borrar sus huellas, también evita ser detectado y atrapado por la policía o los federales [5]. Las herramientas y técnicas que emplea con estos fines son caballos de Troya, Steganography, Tunneling, Rootkits y la alteración de los “log files” (archivos en los que se almacenan todos los eventos ocurridos en un sistema informático y que permiten obtener información detallada sobre los hábitos de los usuarios). Una vez que el hacker logra plantar caballos de Troya en el sistema, este asume que tiene control total sobre el sistema [5].. 3.4. IDENTIFICACIÓN DE RASTROS DE LOS ATAQUES Sin darnos cuenta, los internautas vamos creando una identidad en Internet. Los comentarios en blogs, las fotografías de Facebook o los propios contenidos que creemos van cuajando un perfil digital [7]. La identidad digital es precisamente eso: los contenidos que poco a poco va subiendo cada usuario y que lo van destacando por sus rasgos y características personales. Al final, detrás de la pantalla, hay una persona que, como siempre, se diferencia por uno u otro motivo de las demás. Pero ¿es el que queremos?, ¿refleja nuestro verdadero yo?, o, por el contrario, ¿hay cuestiones que nos gustaría relegar a nuestra intimidad? Para tener una identidad en Internet que sea acorde con nuestra personalidad, podemos seguir los consejos que ayudan a conformar el “yo” que queremos. Por supuesto, estos son directrices generales, el día a día es esencial para conseguir esa identidad deseada. Es posible formular algunas recomendaciones si lo que se desea conscientemente es figurar en Internet, pero ojo, conscientemente. Otra. cosa son el resto de datos que dejamos inadvertidamente, que son nuestro derecho a la intimidad y a la privacidad de nuestra identidad digital. En otras ocasiones, esa intimidad y privacidad se desvanece en intrincados e ininteligibles “acuerdos de confidencialidad”, de acceso a nuestros datos o cesión de estos a terceros mediante políticas de privacidad que aceptamos tácitamente al instalar una aplicación, por ejemplo.. ¿Qué es el rastro digital? Todo el registro de la actividad del internauta a través de las tecnologías en general conforma parte del rastro digital que va dejando en los distintos servidores de todo tipo de compañías multinacionales. No se conforma solamente por todas las acciones que vamos efectuando en nuestros dispositivos, los sitios que visitamos, los “me gusta” que pulsamos, las informaciones que compartimos, los comentarios que dejamos en las redes o las fotos que subimos, también los movimientos reales en nuestra vida diaria: a dónde vamos, cuánto tiempo pasamos en cada sitio, si estamos de vacaciones o en el lugar del trabajo. Otro elemento de suma importancia para recopilar todo nuestro rastro digital son estrategias como las cookies, nuestra dirección ip o las capacidades de ubicación o geoposicionamiento de nuestros dispositivos. Estos tampoco son los únicos. Adicionalmente, el rastro dejado tiene y difiere en matices más bien biométricos de la huella digital, que también sirve para identificar a un usuario por sus características físicas, tales como el iris o la huella dactilar, por ejemplo. Nuevamente, tampoco son únicos.. ¿Qué es la huella digital? Antes que todo, clarificamos la distinción entre la huella digital entendida como la.

(22) 22 · Serie documentos de docencia. huella que un usuario (o una máquina, hash) va dejando a lo largo de su vida de interacción con las tecnologías, ya sea navegando, utilizando servicios en la nube o redes sociales, con más o menos conocimiento y prudencia sobre el uso e impacto sobre su identidad digital y su privacidad, y la huella digital estrictamente biométrica, es decir, la huella dactilar humana tratada digitalmente por distintas tecnologías y con diversas finalidades. Básicamente, la huella digital es todo lo referido a quienes somos y lo que hacemos en la vida real y digital. Son los interesados quienes recopilan todos esos marcadores por sus distintas motivaciones. Y otra realidad a tener en cuenta: cada día se está más horas conectado a la red, inclusive los menores de edad. La mayoría de los usuarios pertenecen a redes sociales, publican fotografías, escriben en blogs, utilizan Twitter o disponen de sitios profesionales o personales. Sin embargo, esto no significa que los usuarios siempre quieran. que esta información aparezca en los resultados de búsqueda.. 3.5. ACTIVIDAD – FOOTPRINTING, ENUMERACIÓN Y DESCUBRIMIENTO DE VULNERABILIDADES Footprinting El dominio con el cual trabajamos para hacer el reconocimiento es dt-A través de un “ping” al dominio citado anteriormente (figura 3), obtenemos la ip relacionada a este, la cual es 104.236.118.x, del allí también podemos establecer que el ttl = 46, lo cual nos muestra que este servidor web está montado en una máquina con sistema operativo Linux, la cual tiene como ttl estándar 64. Con esta información, notamos que tenemos que pasar por 18 routers o saltos para llegar a obtener una respuesta.. FIGURA 3. Prueba comando “ping”. Fuente: elaboración propia. Luego de obtener esta información, se calcula la ruta que toma el paquete para llegar a su destino a través del comando “Tracert” (figura 4)..

(23) Nota de clase · 23. FIGURA 4. Elaboración de una traza. Fuente: elaboración propia. Después de conocer el camino que toma el paquete, se ingresa al sitio web network-tools. com para obtener el nombre de la empresa que presta el servicio de servidores virtuales “DigitalOcean”, la cual se encuentra ubicada. en la ciudad de Nueva York. En este proceso de escaneo también se emplearon comandos como “nslookup” para identificar el nombre o la dirección ip del servidor y obtuvimos el siguiente resultado (figura 5).. FIGURA 5. Prueba comando “nslookup”. Fuente: elaboración propia.

(24) 24 · Serie documentos de docencia. Escaneo y enumeración Se realiza un sondeo (tcp, syn) para conocer los puertos abiertos en el objeto de estudio. Para ello usamos el parámetro –sS (figura 6).. FIGURA 6. Identificación de puertos abiertos con Nmap. Fuente: elaboración propia. Se procede ahora con la identificación de los servicios, como se muestra en la figura 7.. FIGURA 7. Identificación de servicios y versión con Nmap. Fuente: elaboración propia.

(25) Nota de clase · 25. Aquí se pueden observar los servicios y versiones que se están ejecutando por cada puerto. Con esta información, se puede consultar en. distintas bases de datos para identificar las versiones de las aplicaciones que pueden ser vulnerables.. FIGURA 8. Ejecución Nmap con varios parámetros. Fuente: elaboración propia. En la figura 8 se utilizó la herramienta Nmap para realizar un “ping” sin ser detectado –pn, un escáner de rango T3 llamado escaneo por defecto, un sondeo tcp de la –sS, que es un escaneo cuando se tienen permisos y se pide que nos muestre la versión de sistema operativo en la cual corre el servidor a través del parámetro –O. Todo esto se realizó al dominio dt. tcp completa se terminó, pero el host remoto ha cerrado la conexión sin recibir ningún dato.. De los datos obtenidos destaca que el sistema operativo es Linux. Se detectaron algunos puertos tcp abiertos y de igual forma se identificaron los servicios que corren por cada puerto y algunas de las versiones de dichos servicios.. Es importante señalar que tcp Wrapper protege programas, no puertos. Esto significa que una respuesta válida tcpwrapped (no falsos positivos) indica que un servicio de red real está disponible, pero que no están en la lista de hosts permitidos para hablar con él. Cuando se muestra un número muy grande de los puertos como tcpwrapped, es poco probable que representen los servicios reales, por lo que el comportamiento probablemente significa otra cosa, como que un equilibrador de carga o firewall está interceptando las solicitudes de conexión.. Tcpwrapped. Se refiere a tcp Wrapper, un programa de control de acceso de red basado en host en Unix y Linux. Cuando en Nmap se etiqueta algo con tcpwrapped, significa que el comportamiento del puerto es consistente con uno que está protegido por tcp Wrapper. En concreto, esto significa que una conexión. Puerto 8081 IceCap Manager. Es una consola de administración para BlackICE ids. Los agentes y los centinelas. De manera predeterminada, el IceCap Manager escucha en el puerto 8081, transmite mensajes de alerta a otro servidor en el puerto 8082, y tiene un nombre de usuario administrativo de ‘hombre.

(26) 26 · Serie documentos de docencia. de hielo’ que posee una contraseña en blanco. Un usuario remoto puede conectarse al gestor de capa de hielo a través del puerto 8081 (utilizando el nombre de usuario y contraseña por defecto si no se ha modificado) y enviar falsas alertas. Además, la versión de evaluación de IceCap Manager, tiene la opción de utilizar Microsoft Access Jet Engine 3.5. Esto crea un riesgo de seguridad porque Jet Engine 3.5 es vulnerable a la ejecución remota de código Visual Basic para aplicaciones. Por lo tanto, los usuarios remotos pueden ejecutar comandos arbitrarios en IceCap Manager mediante el uso del nombre de usuario y contraseña por defecto y Jet Engine 3.5. Se puede encontrar más información sobre la vulnerabilidad de bases de datos Jet 3.5 motor en la siguiente url: http://www.securityfocus.com/bid/286 Tenga en cuenta que el IceCap Manager ya no es mantenido por la Red de hielo, sino por Internet Security Systems.. certificados de una entidad de certificación pública conocida.. Vulnerabilidades. Si el host remoto es un sistema público de producción, cualquier ruptura en la cadena hace que sea más difícil para los usuarios verificar la autenticidad e identidad del servidor web. Esto podría hacer que sea más fácil llevar a cabo ataques man-in-the-middle contra el host remoto.. La herramienta libre Nessus permite identificar las posibles vulnerabilidades del dominio dt. Después de su ejecución se detectaron 23, de las cuales 22 son informativas o poco riesgosas y una es de rango medio y nos dice que: Certificado X.509 del servidor no tiene una firma de una autoridad de certificación pública conocida. Esta situación puede ocurrir de tres maneras diferentes, cada una de las cuales produce una ruptura en la cadena de certificados por debajo del cual no se puede confiar. En primer lugar, la parte superior de la cadena de certificados enviados por el servidor no podría descender de una autoridad de certificación pública conocida. Esto puede ocurrir cuando la parte superior de la cadena es un certificado reconocido, con firma, o cuando los certificados intermedios faltan, lo que conectaría a la parte superior de la cadena de. En segundo lugar, la cadena de certificados puede contener un certificado que no es válido en el momento de la exploración. Esto puede ocurrir cuando se produce la exploración antes de una de las fechas del certificado ‘NotBefore’, o después de una de las fechas del certificado ‘notAfter’. En tercer lugar, la cadena de certificados puede contener una firma para la que, o bien no se ha encontrado la información del certificado, o no pudo ser verificada. Se pueden fijar malas firmas para conseguir el certificado con la firma defectuosa, más que obtener una nueva firma por parte de su emisor. Las firmas que no pudieron ser verificadas son el resultado del emisor del certificado utilizando un algoritmo de firma que no es compatible con Nessus o que Nessus no reconoce.. Se encontró que nginx4 reutilizar incorrectamente sesiones ssl en caché. Un atacante podría utilizar este tema en determinadas configuraciones para obtener acceso a la información de una máquina virtual diferente.. 4 NGINX (pronunciado como “engine X”) es un servidor web HTTP de código abierto que también incluye servicios de correo electrónico con acceso al Internet Message Protocol (IMAP) y al servidor Post Office Protocol (POP). Además, NGINX está listo para ser utilizado como un proxy inverso. En este modo, NGINX se utiliza para equilibrar la carga entre los servidores back-end, o para proporcionar almacenamiento en caché para un servidor back-end lento. https://blog.desdelinux.net/nginx-una-interesante-alternativa-a-apache/.

(27) Nota de clase · 27. ssl o “Secure Sockets Layer” ssl es un protocolo diseñado para permitir que las aplicaciones para transmitir información de ida y de manera segura hacia atrás funcionen. Las aplicaciones que utilizan el protocolo ssl saben cómo dar y recibir claves de cifrado con otras aplicaciones, así como la manera de cifrar y descifrar los datos enviados entre los dos.. ¿Cómo funciona el ssl? Algunas aplicaciones que están configuradas para ejecutarse bajo ssl incluyen navegadores web como Internet Explorer y Firefox, los programas de correo como Outlook, Mozilla Thunderbird, Mail.app de Apple, y sftp (Secure File Transfer Protocol). Estos programas son capaces de recibir conexiones ssl de forma automática. Sin embargo, para establecer una conexión segura ssl, su aplicación debe tener una clave de cifrado que le asigna una autoridad de certificación en la forma de un certificado. Una vez que haya una única clave de cuenta, usted puede establecer una conexión segura utilizando el protocolo ssl.. Instrucciones de actualización El problema se puede corregir mediante la actualización de su sistema a la siguiente versión del paquete: Ubuntu 14.04 lts: nginx-extras 1.4.6-1ubuntu3.1 nginx-completa 1.4.6-1ubuntu3.1 nginx núcleos 1.4.6-1ubuntu3.1 -nginx luz 1.4.6-1ubuntu3.1 nginx-naxsi 1.4.6-1ubuntu3.1. Severity. Plugin Id. Name. Medium (6.4). 51192. ssl Certificate Cannot Be Trusted. Info. 10107. http Server Type and Version. Info. 10287. Traceroute Information. Info. 10386. Web Server No 404 Error Code Check. Info. 10863. ssl Certificate Information. Info. 11219. Nessus syn scanner. Info. 11936. os Identification. Info. 19506. Nessus Scan Information. Info. 21643. ssl Cipher Suites Supported. Info. 22964. Service Detection. Info. 24260. HyperText Transfer Protocol (http) Information. Info. 42822. Strict Transport Security (sts) Detection. Info. 42981. ssl Certificate Expiry - Future Expiry. Info. 45590. Common Platform Enumeration (CPE). Info. 50845. OpenSSL Detection. Info. 54615. Device Type. Info. 56984. ssl / tls Versions Supported. Info. 57041. ssl Perfect Forward Secrecy Cipher Suites Supported. Info. 62564. tls Next Protocols Supported. Info. 70544. ssl Cipher Block Chaining Cipher Suites Supported. Info. 83298. ssl Certificate Chain Contains Certificates Expiring Soon. Info. 84502. hsts Missing From https Server. Info. 87242. tls npn Supported Protocol Enumeration. 104.236.118.118 Summary Critical High Medium 0 0 1 Details. Low Info Total 0 22 23.

(28) 28 · Serie documentos de docencia. REFERENCIAS [1] J. J. Cano, Computación forense: descubriendo los rastros informáticos, 1.º ed., Bogotá: Alfaomega, 2009. [2] E. S. Raymond (2002, octubre). “Breve historia de la cultura hacker”. Disponible en http://www.sindominio. net/biblioweb-old/telematica/historia-cultura-hacker.html [3] M. Collier y D. Endler. Hacking exposed unified communications & Voip security secrets & solutions, 2°ed., Nueva York: McGraw-Hill, 2013. [4] M. M. Ruiz (2005, octubre). “Aproximación a los perfiles de personalidad de los sujetos que realizaron delitos informáticos”, Monografías.com. Disponible en http://www.monografias.com/trabajos31/delitos-informaticos/delitos-informaticos2.shtml [5] J. Zapata (2010, septiembre). “Fases de un ataque informático”. Seguridad Web. Disponible en http://jzseguridadweb.blogspot.com.co/p/fases-de-un-ataque-informatico.html [6] J. L. Verdeguer Navarro. Hacking y seguridad Voip. Madrid: informática 64 s.l., 2013. [7] V. Cabezudo, “5 forma de crear y mantener una identidad digital correcta”, Muy Pymes (septiembre 18 2012). Disponible en http://www.muypymes.com/2012/09/18/formar-identidad-digital.

(29) Nota de clase · 29. 4. El investigador y la criminalística digital. de una metodología formalizada es la base para:. Es importante tener presentes los siguientes requisitos que se deben cumplir en la manipulación de la evidencia digital en informática forense:. •. • •. •. •. •. •. Hacer uso de medios forenses estériles (para copias de información). Mantener y controlar la integridad del medio original. Esto significa que a la hora de recolectar la evidencia digital, las acciones realizadas no deben cambiar nunca a la evidencia. Cuando sea necesario que una persona tenga acceso a evidencia digital forense, esa persona debe ser un profesional forense. Las copias de los datos obtenidas deben estar correctamente marcadas, controladas y preservadas. Y al igual que los resultados de la investigación, deben estar disponibles para su revisión. Siempre que la evidencia digital esté en poder de algún individuo, este será responsable de todas las acciones tomadas con respecto a ella, mientras se encuentre en su poder. Las agencias responsables de llevar el proceso de recolección y análisis de la evidencia digital deben garantizar el cumplimiento de los principios anteriores [1].. 4.1. ROLES Y RESPONSABILIDADES DEL INVESTIGADOR FORENSE EN INFORMÁTICA Según Cano [1], cada una de las metodologías de investigación en informática forense y pericial tiene sus ventajas e inconvenientes. Es sorprendente descubrir la gran cantidad de metodologías desarrolladas, unas centradas en la escena del delito, otras enfocadas en la formación, otras en el control del flujo de información, etc. En cualquier, caso el empleo por parte del perito o del informático forense. • • • •. Realizar una investigación completa y rigurosa. Asegurar el correcto manejo de las pruebas digitales. Reducir la posibilidad de errores. Evitar el empleo de teorías preconcebidas. Ayudar a soportar la presión del tiempo.. 4.2. MODELOS Y PROCEDIMIENTOS PARA ADELANTAR INVESTIGACIONES FORENSES EN INFORMÁTICA La ciencia forense nos proporciona los principios y las técnicas que facilitan la investigación del delito criminal, en otras palabras: cualquier principio o técnica que puede ser aplicada para identificar, recuperar o reconstruir informática forense. Analizar la evidencia durante una investigación criminal forma parte de la ciencia forense [2]. Los principios científicos que hay detrás del procesamiento de una evidencia son reconocidos y usados en procedimientos como: 1. Recoger y examinar huellas dactilares y adn. 2. Recuperar documentos de un dispositivo dañado. 3. Hacer una copia exacta de una evidencia digital. 4. Generar una huella digital con un algoritmo hash MD5 o SHA1 de un texto para asegurar que este no ha sido modificado. 5. Firmar digitalmente un documento para poder afirmar que es auténtico y preservar la cadena de evidencias. Un forense aporta su entrenamiento para ayudar a los investigadores a reconstruir el crimen y encontrar pistas. Aplicando un método científico, analiza las evidencias disponibles, crea hipótesis sobre lo ocurrido para crear la evidencia y realiza pruebas y controles para.