computaciÓn forense
TRANSCRIPT
COMPUTACIÓN FORENSE
2
DELITO INFORMÁTICO
CAPÍTULO I
DEFINICIÓN
Según Acurio Del Pino “Delito informático es todo acto o conducta
ilícita e ilegal que pueda ser considerada como criminal, dirigida a alterar, socavar, destruir, o manipular, cualquier sistema informático o alguna de sus partes componentes, que tenga como finalidad causar una lesión o poner en peligro un bien jurídico cualquiera”.
Según Departamento de Peritaje Informático de Recovery Labs
“Delito informático es todo acto dirigido contra la confidencialidad, la integridad y la disponibilidad de los sistemas informáticos, redes y datos informáticos, así como el abuso de dichos sistemas, redes y datos”.
5
CLASIFICACION DE LOS DELITOS SEGÚN LA ONU
Fraudes cometidos mediante manipulación de computadoras
Manipulación de los datos de entrada. Conocido como sustracción de datos, es considerado
como el delito informático más fácil de concretar y por el contrario más difícil de reconocer y revelar.
Manipulación de programas.Consisten en modificar los programas existentes en el sistema de computadoras o en insertar nuevos programas o nuevas rutinas para que pueda realizar una función no autorizada al mismo tiempo que su función normal.
6
Manipulación de los datos de salida.Se efectúa fijando un objetivo al funcionamiento del sistema informático.
Manipulación informática que aprovecha las repeticiones automáticas de los procesos de cómputo:
Es una técnica especializada que se denomina "técnica del salchichón o salami", se van sacando repetidamente de una cuenta y se transfieren a otra. Se basa en el principio de que 10,66 es igual a 10,65 pasando 0,01 centavos a la cuenta del ladrón n veces.
7
Daños o modificaciones de programas o datos computarizados Sabotaje informático Es el acto de borrar, suprimir o modificar sin
autorización funciones o datos de computadora con intención de obstaculizar el funcionamiento normal del sistema. Vírus. Gusanos. Bomba lógica o cronológica.
8
Reproducción no autorizada de programas y datos informáticos:Relacionado con toda actividad de reproducción y distribución programas y datos informáticos
Accesos no autorizados a servicios y sistemas informáticos
Accesos que pueden cometerse a través de la simple curiosidad hasta llegar al sabotaje y espionaje informático.
9
CLASIFICACIÓN DE LOS DELITOS SEGÚN EL
CONVENIO DE BUDAPEST Delitos contra la confidencialidad, la integridad
y la disponibilidad de los datos y sistemas informáticos. Acceso ilícito. Interceptación ilícita. Interferencia en los datos. Interferencia en el sistema. Abuso de los dispositivos. Falsificación informática. Fraude informático.
10
Delitos relacionados con el contenido Delitos relacionados con la pornografía infantil
La producción de pornografía infantil con vistas a su difusión por medio de un sistema informático.
La oferta o la puesta a disposición de pornografía infantil por medio de un sistema informático.
La difusión o transmisión de pornografía infantil por medio de un sistema informático.
La adquisición de pornografía infantil por medio de un sistema informático para uno mismo o para otra persona.
La posesión de pornografía infantil en un sistema informático o en un medio de almacenamiento de datos informáticos.
Delitos relacionados con infracciones de la propiedad intelectual y de los derechos afines Todo delito en su derecho interno las
infracciones de la propiedad intelectual, para la protección de las obras literarias y artísticas, de acuerdo sobre los aspectos de los derechos de propiedad intelectual, cuando esos actos se cometan deliberadamente, a escala comercial y por medio de un sistema informático.
12
Formas De Cometer Un Delito Informático
Data diddling. Troyano o Caballos de Troya. La técnica del salami. Manipulación de los datos de salida. Pishing. Pharming. Bombas lógicas (logic bombs). Gusanos. Virus informáticos y malware.
13
Ciberterrorismo. Ataques de denegación de servicio. Fuga de datos (data leakage). Apropiación de informaciones residuales
(Scavenging). Las puertas falsas (trap doors). La llave maestra (superzapping). Pinchado de líneas (wiretapping).
14
TIPOS DE ATACANTES Hackers. Crackers. Lamers. Copyhackers. Bucaneros. Phreaker. Newbie. Cript Kiddie.
15
ATAQUES
Los principales elementos involucrados en un ataque informático son:
Sujeto Activo Es aquel individuo que se le atribuye el delito
informático. Sujeto Pasivo Es aquel considerado como la víctima del delito y
sobre el cual recae la acción que realiza el sujeto activo. Las víctimas pueden ser individuos, instituciones crediticias, organizaciones, empresas, instituciones, gobiernos y otros, los cuales utilizan los sistemas de información en su actividad diaria.
Algunas técnicas y procedimientos Ingeniería social Ingeniería social inversa Ataques de autenticación Diccionarios Negación de servicio Modificación daño
CAPÍTULO II
COMPUTACIÓN FORENSE
CAPÍTULO III
METODOLOGÍA DE LA COMPUTACIÓN FORENSE
19
FASES DE LA COMPUTACIÓN FORENSE
ADQUISIÓN DE DATOS
Es una de las actividades más críticas en el análisis forense.
Uno de los primeros problemas del analista en la recogida de datos se resume en decir si el equipo hay que apagarlo o no.
Otro de los problemas que se puede encontrar es la obtención de los siguientes datos: nombre y apellidos del responsable del equipo y usuario del sistema.
Otros datos que se deben obtener como mínimo serían: Modelo y descripción del sistema. Número de serie. Sistema operativo. Coste económico aproximado que tiene
dicho incidente.
Figura . Ejemplo de formulario para recabar la información en la primera fase
Localizar los dispositivos de almacenamiento que están siendo utilizados por el sistema.
Una vez localizadas todas las partes del sistema, es recomendable fotografiar los dispositivos de almacenamiento así como su ubicación.
Se continúa con la clonación bit a bit de los dispositivos de almacenamiento del sistema.
Finalmente, se tienen que transportar dichos dispositivos al centro en donde se realizará el análisis y la investigación.
Datos de carácter personal Realizar un contrato de encargado de tratamiento. Rellenar el registro de dispositivos así como el de
E/S y el de incidencias. Cumplir con las medidas técnicas que requiere la
Ley de Protección de Datos Personales. (Ley Nº 29733 – Perú)
ANÁLISIS E INVESTIGACIÓN
Las fuentes de información en esta fase son varias: Registros de los sistemas analizados. Registro de los detectores de intrusión. Registro de los cortafuegos. Ficheros del sistema analizado.
Cuando se accede a la información podemos encontrar dos tipos de análisis: Físico: información que no es interpretada por el
sistema operativo ni por el de ficheros. Lógico: información que es interpretada por el
sistema operativo. En este nivel, por tanto, podremos obtener:
estructura de directorios. ficheros que se siguen almacenando, así como los que
han sido eliminados.
Las herramientas por excelencia para esta fase de análisis e investigación son: El EnCase. Sleunth kit & Autopsy . Py-Flag (Forensics Browser) Dumpzilla (Forensics Browser: Firefox,
Iceweasel and Seamonkey) Foremost (Data Carver command line
tool)
Horas y fechas de creación y modificación de los ficheros.
Tamaño de los ficheros. Utilización de los HASH para reconocer los tipos
de archivos, contenido en los sectores libres, etc.
En un dispositivo de almacenamiento nos encontraremos con tres tipos de datos recuperados: Allocated: inodo y nombre del fichero
intactos, con lo que se dispondrá del contenido integro.
Deleted/Reallocated: inodo y nombre del fichero intactos aunque han sido recuperados porque habían sido borrados.
Unallocated: inodo y nombre de fichero no disponibles, con lo que no tendremos el contenido integro del archivo aunque sí algunas partes.
Inodo: es una estructura de datos propia de los sistemas de archivos tradicionalmente empleados en los sistemas operativos tipo UNIX.
Figura 7. Programa Autosy utilizado para el análisis forense
REDACCIÓN DEL INFORME
Informe ejecutivo El lenguaje del informe no debe ser muy
técnico. Este informe consta de los siguientes puntos: Introducción Descripción Recomendaciones
Informe técnico El objetivo del informe es describir qué ha
ocurrido en el sistema. El informe debe contener al menos los siguientes puntos: Introducción Preparación del entorno y recogida de datos Estudio forense de las evidencias Conclusiones