Cómputo Forense: Huaraz

COMPUTO FORENSE
Instituto de Peritajes Criminalísticos
“HANS GROSS”
Alonso E. Caballero Quezada
http://alonsocaballero.informatizate.net
16 de Junio, 2005 - Huaraz, Perú

Instituto de Peritajes Criminalísticos “HANS GROSS”
C
O
M
P
U
T
O
F
O
R
E
N
S
E Huaraz, Perú - 16 de Junio, 2005
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
Nuevos Escenarios
Criminales

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
Las Computadoras y
redes están
relacionadas
virtualmente en
todas las
actividades diarias.

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
Delimitación Jurídica del Delito
informático:
Realización de una acción
que reuniendo las
características que
delimitan el concepto de
delito, sea llevada a cabo
utilizando un elemento
informático o vulnerando los
derechos del titular de un
elemento informático, sea
hardware o software.

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
Delitos informáticos
Conductas ilícitas susceptibles de
ser sancionadas por el derecho
penal, que hacen uso indebido de
cualquier medio informático.

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
Implican actividades criminales que en
un inicio se ha tratado de tipificar
en figuras típicas de carácter
tradicional, robo, hurto, fraude,
falsificaciones, etc..
El uso indebido de las
computadoras es lo que
ha propiciado la
necesidad de regulación
por parte del derecho.

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
Las “amenazas” en
los nuevos
escenarios
criminales,
abarcan diversos
dispositivos
electrónicos

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
Individuos con elevados conocimientos
y habilidades pueden tener acceso a
casi cualquier objetivo.
- Ingreso No Autorizado
a Sistemas.
- Transferencias “on-
line” de dinero.
- Substracción de
información
confidencial.
- Llamadas sin cobro,
etc.

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
La naturaleza
multi-propósito
de las
computadoras,
las convierten
en herramientas
muy poderosas.
“Internet es solo un vía
de comunicación muy poderosa”

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
Incidentes
que se
relacionan
con el
COMPUTO
FORENSE

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
1. Robo de
código fuente
o información
Privada.

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
2. Robo de
Archivo de
Contraseñas o
información
de tarjetas
de crédito.

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
4. Amenazas o
extorsión vía
correo
electrónico
3. SPAM o
Correo no
solicitado.

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
5. Intrusiones
no autorizadas
o ilegales a
Sistemas de
Computo.

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
6. Ataques de
Denegación de
Servicios.
(DoS, DDoS)

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
El Crecimiento de la Tecnología e
Internet facilita la manipulación y el
acceso a la información.
“Internet no es
mas, que el
reflejo de
nuestra sociedad”

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
Modalidades delictivas
en Sistemas de Computo

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
La modalidades delictivas pueden
clasificarse basado en dos criterios:
* Como instrumento o medio.
Conductas criminales que utilizan las
computadoras como método, medio o
símbolo en la comisión de un delito
* Como Fin u Objetivo.
Conductas criminales dirigidas en
contra de la computadora, periféricos
o programas como entidad física.

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
1. Falsificación de Documentos

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
2. Manipulación de la contabilidad
de la empresas.

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
3. Planeación de delitos
convencionales.

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
4. Robo de tiempo de computo.

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
5. Lectura, substracción o copiado
de información privada

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
6. Introducción de instrucciones
inapropiadas en un sistema.

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
7. Técnica “salami”.

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
8. Uso no autorizado de Programas de
computo.

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
9. Alteración de los sistemas
mediante virus informáticos.

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
10. Programación de instrucciones
que bloquean el sistema.

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
11. Falsificación de Documentos.

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
12. Daño a la Memoria.

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
13. Atentado físico contra la
maquina o accesorios.

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
14. Sabotaje político o terrorismo.

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
15. Secuestro de soporte magnético

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
Seguridad Informática
Básica.

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
SEGURIDAD:
Característica de un
sistema, que nos indica que
ese sistema, esta libre de
todo daño, riesgo, peligro,
y que en cierta manera es
infalible.

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
Para el caso de Sistemas Operativos y
Redes de Computadora, Se redefine el
concepto dado por “fiabilidad”.
Probabilidad de un sistema de que un
sistema se comporte tal y como se
espera de el.
Un sistema seguro consiste en
garantizar tres aspectos.

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
1. Confidencialidad
Los objetos de un sistema serán
accedidos solo por elementos
autorizados y que la información no
será disponible a otras entidades.

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
2. Integridad
Los objetos solo pueden ser modificados
por elementos autorizados y de manera
controlada.

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
3. Disponibilidad
Los objetos del sistema tienen que
permanecer accesibles a elementos
autorizados.

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
Los temas de Seguridad informática no
pueden ser tratados aisladamente.
La seguridad de todo el sistema es
igual a la de su punto mas débil.

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
A. SEGURIDAD FISICA
Aplicación de barreras físicas y
procedimientos de control como medidas
de prevención y contramedidas contra
las amenazas a los recursos y a la
información confidencial.

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
Seguridad de Hardware
* Acceso Físico
* Desastres Naturales
* Desastres del entorno

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
Protección de los datos
* Interceptación
* Copias de Seguridad (Backups)
* Otros elementos

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
B. ADMINISTRADORES, USUARIOS,
PERSONAL
No es exagerado afirmar que el punto
más débil de cualquier sistema
informático son las personas
relacionadas con él.

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
Ataques Potenciales:
* Ingeniería Social
* Espiar “sobre el hombro”.
* Enmascaramiento
* Basuero
* Actos Delictivos

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
El atacante interno.
La mayoría de incidentes; robo,
fraudes, sabotajes, accidentes
informáticos; relacionados con los
sistemas son causados por el propio
personal de la organización.

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
C. SEGURIDAD DEL SISTEMA
* El sistema de Archivos
* Programas seguros, inseguros, nocivos
* Auditoria del Sistema
* Copias de Seguridad
* Autenticación de usuarios

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
D. SEGURIDAD DE LA SUBRED
* El sistema de Red
* Servicios y Protocolos
* Firewalls (Cortafuegos)
* IDS (Sistema Detector de Intrusos)
* otros aspectos de la Seguridad:
- Criptología
- Herramientas de Seguridad
- Gestión de la seguridad

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
“La seguridad es un estado
mental”

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
COMPUTO FORENSE

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
COMPUTO FORENSE:
Técnicas de Análisis e investigación
que involucra la identificación,
preservación, extracción,
documentación y interpretación de
datos de computadoras para
determinar evidencia legal potencial

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
Se define COMPUTO FORENSE, como la
aplicación de la técnicas de la
ciencia forense a material de
computo. Proceso de identificar,
preservar, analizar y presentar
evidencia digital de manera que sea
aceptada en un proceso legal.

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
“El objetivo del computo
forense es obtener la verdad”

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
IDENTIFICACION
DE LA EVIDENCIA

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
* La tarea principal es identificar la
evidencia.
* Cada caso es diferente, con
diferentes tipos de evidencia.
* La regla de oro es, obtener todo.
* Realisticamente, tomar todo y de
cualquier lugar, teniendo presente la
parte legal.

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
HARDWARE FÍSICO
La evidencia no solo se localiza en el
hardware, sin embargo el hardware es un
tipo crucial de evidencia.
* Teclado * Monitores
* Mouse (ratón) * Joystick
* Touchpad * Floppy
* CDROM / DVD * etc..
* Case de Laptop
* Escaners
* PDA

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
DISPOSITIVOS REMOVIBLES
Inspección de los medio removibles y
que puede ser evidencia valiosa.
Sus propósitos son; Archivo de Datos
(backups), Transporte de Datos y
Programas de instalación
* Floppy disk
* CD / DVD
* Dispositivos USB * Memorias
* ZIP disk * Cintas
magnéticas

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
DOCUMENTOS
Algo que se puede tocar y manipular.
Evidencia constituida por documentos se
denomina evidencia documental.
Se debe buscar por estos tipos de
información escrita:
* Passwords * e-mails
* Claves de cifrado * Nombre de archivos
* URL * Memorias
* Direcciones IP * Cintas magnéticas
* Nombres * Direcciones
* etc..

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
PRESERVACION DE
LA EVIDENCIA

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
* Asegurar absolutamente que ningún
cambio a sucedido desde que la
evidencia fue recogida.
* Tomar todas las precauciones
necesarias para proteger la evidencia
recolectada de daño que cambie su
estado.
* Anotar explicación de los pasos
realizados
* Manipular le evidencia cuando se este
seguro que legalmente puede hacerse.

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
¿MANTENER ENCENDIDO O APAGAR?
* ¿Cual es el daño Provocado?
* Al desconectar el fluido eléctrico,
la “volátil” se pierde. O puede dañar
físicamente los datos.
* Apagar el sistema puede implica
perder o modificar el estado de la
evidencia.
* El Software forense, debe permitir un
análisis “live”.

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
Fluido eléctrico como necesidad
* Algunos tipo de evidencia lo
requieren (PDA)
* Para ser usada como evidencia se debe
mantener la batería en condiciones
adecuadas.
* Si se tiene que lidiar con un
dispositivo que requiere suministro
constante de energía se debe de también
obtener el “cargador”.

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
Proveer evidencia en estado inicial
* ¿Como se convence al jurado que la
evidencia no se modifico? HASH,CRC,MD5.
* Bloqueadores de Escritura.
* Preservación del estado de la
evidencia.
- Habilitar el medio en modo lectura
- Calcular el MD5
- Crear una copia bit a bit.
- Retornar el medio al bloqueador.

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
ANALISIS DE LA
EVIDENCIA

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
* ¿Es la copia igual a la original?
* Si es así, se procede a realizar el
análisis.
* Software Forense incluye las
herramientas necesarias para realizar
esto.
* Se tiene que desarrollar un sentido
de donde buscar y buenos conocimientos
para extraer la información.

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
Sabiendo donde mirar.
* El tipo especifico de evidencia,
depende del caso.
* Se necesita estar a gusto con el
sistema objetivo.
* Ubicación de archivos. (por defecto)
* Entender al sospechoso y su sistema
de computo.
* EL software debe permitir acceder a
áreas ocultas.

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
- Visores. Visor de Archivos,
proporciona una visión de archivos o
imágenes.
- Validador de extensión. Compara
extensiones con la cabecera.
- Herramienta de recuperación de
archivos borrados. El algunos casos
totalmente y en otros parcialmente.
- Herramientas de búsqueda. Basado en
patrones o criterios en archivos.

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
A través del mar de Datos
* Grandes cantidades de datos. Hay que
definir el ámbito de la investigación.
* Archivos “Logs” indican el ámbito.
* Un interpretador de “logs” permite
buscar por ocurrencias.
* Un IDS proporciona métodos para
analizar múltiples “logs”
* Dificultad: Extraer solo la evidencia
necesaria.

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
PRESENTACION DE
LA EVIDENCIA

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
* El objetivo es persuadir a la
audiencia de utilizar la evidencia.
* Usar la evidencia obtenida para
probar hechos.
* Con evidencia contundente, la
definición de un caso solo depende de
la efectividad de la “presentación”.

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
Conociendo su audiencia
* Haga su tarea.
* “Lea” el recinto.
- ¿Que se hizo? - ¿Como se hizo?
- ¿Porque se hizo?
- ¿Que se encontró?
* Puntos Objetivo.
- Disposición del lugar
- Recolección de evidencia
- Manipulación y almacenamiento.
- Análisis inicial del lugar
- Análisis de Datos
- Hallazgos.

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
Organice su Presentación
* Presentación de un promedio de 30
diapositivas por hora.
* El objetivo es presentar evidencia
que prueba uno o mas hechos en un caso.
* Algunas veces puede ser mejor una
presentación cronológica de hechos.
* Otras veces exposición directa de los
tópicos es consistente.

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
Mantengalo Simple
* La complejidad puede provocar
confusión.
* Hacer que lo complejo, parezca
simple.
* Utilizar ayudas visuales.
* Que tanta tecnología es necesario
utilizar en la presentación.

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
CASUISTICA

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
Presuntas
firmas falsas
del partido
político Perú
Posible.
Software que permite realizar un
exhaustivo peritaje técnico al
contenido de la información.

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
Presunto delito
de tráfico de
influencias al
estado Peruano
Carmen Lozada intercambio seis
correos electrónicos con Juan
sheput cuando se desempeño como
jefe de gabinete en el ministerio
del Interior.

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
La pareja difundió los videos al
mundo vía Internet. Además las
pesquisas también involucran al
pedófilo en la creación de una pagina
web en que la que se difundían fotos
trucadas.
Presuntos Esposos
implicados en red
de Pedofilia.

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
EL portal de el Peruvian Hackers y
Crackers, presuntamente fue
clausurado por el FBI, por distribuir
copias “piratas” mutiladas de dos
conocidos antivirus Peruanos.
Clausura de
Portal de
“Hackers” PHC

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
Constantemente servidores donde se
hospedan diversas paginas webs de
empresas, instituciones, órganos
gubernamentales, son atacados tanto
por “Peruanos” como extranjeros.
“Hackeos” a
servidores
Peruanos.

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
“Quien nunca ha cometido un error,
nunca ha probado algo nuevo”
Albert Einstein

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
Agradecimientos:
En primera instancia a mis Padres, Hermana y
sobrino.
Y a los que hacen posible mi presencia; Cámara de
Comercio de La Libertad, Software International
Solutions y en especial al Instituto de Pericias
Criminalísticas “HANS GROSS”.
Gracias a Todos ustedes por su
presencia y atención.
Alonso Eduardo Caballero Quezada

C
O
M
P
U
T
O
F
O
R
E
N
S
A
L
O
N
S
O
C
A
B
A
L
L
E
R
O

Cómputo Forense: Huaraz

Recomendados

Recomendados

Mais conteúdo relacionado

Mais de Alonso Caballero

Mais de Alonso Caballero (20)

Último

Último (20)

Cómputo Forense: Huaraz