Técnica para realizar un delito informático

Como están espero que bien bueno prosiguiendo con la entrevista al mayor Silva de la unidad de delitos informáticos de alta tecnología DIVINDAT en esta entrevista nos menciona como se realizan delitos en otros países donde más se utilizan las transacción de negocios por intermedio de internet por ejemplo realizar contratos o negocios a través de internet espero que sea de su interés.
Como realizan o que métodos utilizan para realizar un delito en las transacciones de negocios uno de los métodos es corromper el hash ¿Pero que es el hash? Un hash no es más que una codificación de un texto en códigos o numero resumen por ejemplo si tengo un texto yo podría darle una expresión matemática como Hola amigo, donde h=10, o=15 así sucesivamente más o menos seria como una encriptación de información pero no lo es. ¿Porqué lo utilizan? es porque todos los hash tienen el mismo tamaño y solo se comunican a través de llaves por ejemplo la otra persona tiene que tener la decodificación para que se puedan intercambiar información.se aplica para Comprobación de integridad de ficheros y en Firmas digitales.
Pero si uno quiere realizar un hash ya no tendría que crear su propio algoritmo para su hash hoy en día hay muchos algoritmos de hash como son el MD5 el cual maneja mensajes de extensiones en bloques de 512 bits generando un resultado de 128 bits. Debido a la capacidad de procesamiento actual son insuficientes, además de que presentan algunas vulnerabilidades del algoritmo, SHA-1 produce como salida un resumen de 160 bits. Este número es mayor que el que se utilizaba en el algoritmo de MD5 .
¿Por qué no es seguro el MD5?
Porque supongamos que queremos enviar información lo representaremos como i, le aplicaremos una función hash que estará representado como F y al resultado será R
Tendríamos la siguiente función F(i)=R pero que pasaría si en la red tendríamos otros resultados con la misma representación R bueno a esto se le conoce como colisión ,por lo que sería uno de sus puntos débiles porque si una persona maliciosa crea un algoritmo de hash y este colisiona con un hash donde se encuentra información valiosa el podría o dar información adulterada, falsificar, o falsificar su firma y el resultado sería desastroso.
En cambio una de sus ventajas del SHA-1 es que para romper el SHA-1 se necesitaría de un súper computador y Tartaria más o menos 1 año en descifrarlo.

DIVINDAT II

Hola Continuaremos con la entrevista .En el post anterior se menciono sobre la DIVINDAT como se origino, también se menciono que un delito informático se puede producir de dos maneras la primera es directamente se altere en la computadora ya sea por malos trabajadores o personal y la otra es hacerlo por internet un claro ejemplo son los hacker. Ahora vamos a hablar sobre la herramienta que utilizan casi todos los analistas forenses del mundo la herramienta encase forensic 5.0 Enterprise hablaremos sobre las ventajas de usarla

¿Por qué él la más usada por los analistas forenses?

Rpta.

-Por que permite analizar toda la evidencia dentro de una interfaz gráfica, mediante el uso de un grupo de herramientas , esto reduce el tiempo del análisis a demás maneja grandes cantidades de evidencia y es compatible con diversos sistemas de archivos.

Una vez que se tiene las imágenes del disco de evidencia se puede realizar búsquedas y analizarlas desde cualquier unidad de disco

Cuenta con la aprobación de los tribunales de justicia de todo el mundo

¿A qué se debe?

Crea un duplicado binario exacto de la unidad o disco (copiado bit a bit) ,asigna valores de control de redundancia cíclica a los datos para revelar las instancias en que las pruebas (unidad o disco ) se han modificaron forzosamente o se alteraron de alguna manera.

Un ejemplo es que hayan puesto en la BIOS un programa que cuando se apague o desenchufe el ordenador se borre algunos archivos que comprometan al agresor.


Además tiene un calendario de fechas donde se puede saber cuando fue creado un archivo o cuando se ha modificado el archivo o borrado este calendario es creado por el encase para un rápido análisis


Encase también se pueden obtener los correos eliminados, notas y contacto esto se debe q que es compatible con muchos correos como son yahoo, Hotmail, Outlook , a demás decodifica el historial de la web para saber que paginas ha visitado


Encase forensic 5.0 permite que los analistas impidan la escritura en las unidades sospechosas y otros medios, el sistema permite crear privilegios de acceso para que personas extrañas no puedan tener acceso al encase a fin de preservar la evidencia.

DIVINDAT

El día martes 14 de octubre tuve una entrevista con el mayor Silva integrante de la división de es ingeniero sistemas especializado en análisis forense
Como se origina la DIVINDAT (división de delitos de alta tecnología)
Fue creada en el 2006, se crea como una división por que en el Perú existe un departamento de estado egeil el cual se encargada de ver toda la tecnología en el Perú y el DIVINDAT se ría como su policía, el DIVINDAT tiene varias categorías de delitos y también aéreas que se especializan en esos delitos

Menciono muchas cosas importantes como por ejemplo que una norma que tienen que seguir los analistas forenses es que del disco donde se ha cometido un delito tiene que sacar 3 copias pero como sacan copias, por intermedio de una herramienta encase menciono varias herramientas encase, pero ellos utilizan el Forensic 5.0 Enterprice, ¿ por que utilizan esa herramienta y no otras? Rtpa a comparación con el Forensic Enterprice
Las otras herramientas encase sus métodos son muy discutido, entonces no podría decirse que carecería como prueba.

La herramienta Forensic 5.0 Enterprice no solamente se encarga de copiar del disco original (donde se ha cometido el delito) a otro disco bit por bit sino que también realiza el análisis .Es una herramienta indispensable para el analista Forense
¿Cuanto tardan en resolver un delito informático?
Rpta. No se sabe, te lo explicare con un ejemplo
Hace como 5 años antes que se creara la división DIVINDAT sucedió un caso en Chiclayo ,a una señorita siempre la atacaban , pero lamentablemente no se sabía quién era de esta manera pasaron 2 años hasta que se creó la unidad y los padres de la señorita ,llegaron hasta aquí ,como es un delito atreves de internet teníamos que llevar una orden de un juez a la telefónica porque ellos se rehúsan a darnos las direcciones de dominios de sus clientes y sin una orden no se podría hacer ,después de catorce meses nos dio la información y de esta manera se resolvió el caso ,ósea que hay distintos factores que influyen en resolver un delito.

Principios Basicos de Analisis Forense

Hola a todos en esta oportunidad veremos más a fondo como se realizar un análisis forense pero en este caso estará orientado a la plataforma GNU/Linux ó Unix,lo primero es que hacer cuando se ha realizado un delito en su empresa y como actuar también veremos todo lo concerniente a un analista forense.
Como ya he mencionado en anteriores post que he realizado el objetivo principal del Analisis forense es identificar a todos los sistemas controlados por el intruso, comprender los métodos utilizados para acceder a estos sistemas, como el objetivos del intruso y la actividad que ha desempeñado durante su estancia dentro del sistema comprometido.
Como el tema es largo cada semana publicare avances. Bueno comencemos
Si ud.tiene sospechas de que han realizado un delito informatico .
La opción más fácil es de evitar que las cosas no cambien - cerrar el sistema o suspender su funcionamiento.

Si ud apaga el servidor como normalmente hace utilizando el comando shutdown lo más seguro que borre algunas información de interés. Por que puede ser que los intrusos hayan programado los sistemas para eliminar algunos ficheros en el sistema cuando el cable de conexión haya sido sacado o cuando el procedimiento de un shutdown normal haya sido activado.

Si ud. no está seguro de lo que está haciendo, se debe simplemente desenchufar el sistema y ponerse en contacto con un investigador forense especializado, ya que las pruebas pueden ser dañadas con mucha facilidad.


En caso de que Ud esté seguro de si mismo puede utilizar algunas de las herramientas que vienen a continuación, siempre con cuidado.
-last, w, who - Obtener el listado de usuarios actuales en el sistema, logins anteriores, etc.
-ls - Obtener el listado largo (ls -lat) de ficheros en lugares sospechosos, los home directories, directorio /dev, directorio /root, etc.
-ps - Obtener el listado largo de todos los procesos incluidos aquellos sin ttys (e.g., ps auxwww y ps elfwww -- añadir más flags w si el listado se acorta).
-lsof - Obtener un listado completo de descriptores de ficheros, que puede mostrar algunos backdoors, sniffers, eggdrop IRC bots, redireccionadores de puertos para VNC, etc.(Ojo con cwd, cual es el directorio local en el cual el programa ha sido ejecutado.)

find - Identificar todos ficheros corrientes, directorios modificados desde la fecha de último acceso no autorizado, o que pertenecen al usuario desde cuya cuenta se sospecha que fue originado el ataque.
Importante: La utilidad find modifica el i-node "last accessed" con el timestamp actual, entonces no debe utilizar esta utilidad para barrer el sistema de ficheros, si todavía quiere saber cuales son los ficheros accedidos por el atacante si el sistema de ficheros está montado en modo lectura y escritura.
-ltrace, strace, truss (SunOS 5) - Ver últimos accesos a ficheros de configuración de "rootkit", ejemplo: Examinar el fichero /bin/ls trucado.

Para realizar analistas forenses lo principal es tener un equipo dedicado con sus herramientas especializadas, para poder hacer el análisis, sin tener interrupciones por procesos de otros usuarios ni estar vulnerable a los ataques externos. Un ejemplo siguiente:
Tener un ambiente adecuado y seguro, también tener un equipo de computo dedicado para realizar análisis forense

• Un equipo con i386 compatible motherboard con 2 tarjetas controladoras IDE.

• tener por lo menos 2 discos duros sobre el controlador IDE principal (para almacenar el sistema operativo y herramientas, más espacio para poder copiar las particiones salvadas desde la cinta, y espacio adicional para recuperar la información borrada desde discos duros).

• Un segundo controlador IDE sin utilizar. Eso significa que no deberá mezclarse con modificación de configuraciones de hardware de los discos.

• Tarjeta de interfaz SCSI

• Dispositivos de cinta DDS-3 ó DDS-4 4mm (necesitará bastante capacidad para almacenar información de las particiones grandes.).

• Si el sistema está conectado a una red, deberá ser perfectamente parcheado y no tener ningún servicio de red funcionando salvo SSH (para acceso remoto y transferencia de ficheros). Red Hat Linux 7.3 con Bastille Linux 2.0 BETA es muy buena opción (Combinación utilizada en el lab de Activa Link).

Principios que tiene que seguir un analista forense
El equipo de análisis forenses su trabajo principal es preservar lo más íntegramente posible las evidencias del crimen en un estado íntegro.

Si el equipo de computo del grupo de analistas forenses fuese acezado por personas extrañas o si el grupo de trabajo modificara o eliminara información por error del disco original donde se ha cometido el delito no podrá seguir el rumbo correcto ya que y carecería de valor ante la justicia ya que.

1. Se eliminaría cualquier posibilidad de persecución del intruso en un futuro ya que se modifica la "escena del crimen" y no se podría calcular los daños estimados con un grado elevado de certeza.

2. Hay muchas posibilidades de que se le paso algo importante por alto al grupo de trabajo

Recolección de evidencias

Para la recolección de evidencias en la inspección forense, es muy habitual utilizar distribuciones live (software que se ejecutan desde el CD o DVD) esto sirve para tener la integridad del disco original por que no utilizan el espacio de disco escenario del crimen. Tan sólo leen datos, garantizándose la asepsia en la recogida de pruebas.
La recolección de pruebas se centrará en los servicios que sospechemos estén o hayan sido comprometidos. No está de más recoger pruebas genéricas y de servicios aparentemente no comprometidos, todo dependerá de la ventana de tiempo asignada para la recuperación de la máquina analizada. Para estos menesteres, las distribuciones forenses están repletas de herramientas libres de análisis.
Reanimación cautelar
Una vez detectadas las fuentes de problemas, se procede a subsanar y a reanimar los servicios. A veces es necesario reactivar la máquina antes de subsanar, por cuestiones de tiempo. Sea como fuere, el análisis de campo debe concluir con la puesta en servicio de la máquina comprometida habiéndose aplicado las medidas cautelares de prevención estimadas como necesarias para garantizar que la máquina puede entrar en operación de un modo seguro.
El trabajo de gabinete
Con los registros y las evidencias, pasamos al trabajo de gabinete, eso sí, mirando de reojo la máquina reactivada, para verificar que las medidas de prevención funcionan y para ver si la actividad sospechosa ha finalizado o no. El trabajo de despacho concluye con el informe o análisis forense, un documento que debe contener, al menos:
Descripción detallada de las condiciones de contorno antemortem
Descripción de la situación del sistema postmortem
Descripción de los datos recolectados, metodologías y herramientas aplicadas
Descripción de las medidas cautelares de recuperación y garantías obtenidas
Informe final de incidencias, causas y medidas de corrección
Análisis completo de servicios y estado de vulnerabilidad global
Proposición de mejoras y conclusiones
Es un resumen rápido de las principales tareas cuando nos enfrentamos a un problema similar al descrito.

Ahora quien nos salvaraaa!!!!!!!!!!!

Buscando un tema interesante para no decepcionar otra vez al profesor flores
Me tope un tema escalofriante y a la vez preocupante se podría decir.
Se trata de la empresa más popular del mundo nos referimos nada más y nada menos a la Microsoft se menciona en varios artículos que por intermedio de los productos de Microsoft estamos en un claro peligro de ser espiado y esto a que se debe a que hay una relación entre Microsoft y la Agencia Nacional de Seguridad de los EE.UU (NSA).
Pero que es la NSA Durante mucho tiempo incluso su existencia no fue admitido por el gobierno de los Estados Unidos. Se la llegó a conocer como No Such Agency (no hay tal agencia). NSA se encargaría de obtener y analizar información transmitida por cualquier medio de comunicación. Sus actividades de espionaje incluyen la radiodifusión, tanto de organizaciones como de individuos, Internet, y otras formas de comunicación, sobre todo confidenciales.
Se rumorea que NSA tiene algún tipo de injerencia en los productos de Microsoft

Algunos de Sus mecanismos

*troyanos preinstalados en Windows que permiten el control total de tu PC/Windows por parte de los agentes de la NSA

*Los IP publicados por Cryptome (Cryptome acoge publicaciónes de documentos que estén prohibidas por los gobiernos en todo el mundo, en particular, material sobre la libertad de expresión) y son utilizados por la NSA, por contratistas del sector privado que trabajan con la NSA y por agencias gubernamentales no estadounidenses amigas de la NSA para acceder tanto a sistemas independientes como a redes ejecutando productos de Microsoft. Esto incluye el espionaje de "smart phones" ejecutando Microsoft Mobile.Los privilegios de administración remota permiten utilizar puertas traseras en los sistemas operativos de Microsoft mediante los puertos TCP/IP 1024 a 1030. Esto es disparado con más frecuencia cuando los ordenadores visitan los servidores de actualizaciones de Microsoft. Una vez se han establecido los privilegios de administración remota, los ordenadores pueden ser accedidos de forma remota a voluntad. Algunos fabricantes de cortafuegos y software de detección de intrusos facilitan eso de forma consciente.

Esto con llevara a que cualquier usuario o empresa que tenga un producto de Microsoft siempre estar vigilado.

Que Metodologia o pasos se siguen en la Informatica Forense!!!!

El pasado día 1 de marzo de 2008, las autoridades colombianas llevaron a cabo una operación en el campamento de las Fuerzas Armadas Revolucionarias de Colombia (FARC) situado en Ecuador, en una zona fronteriza con Colombia, consecuencia de la cual resultó muerto el portavoz internacional de las FARC, Raúl Reyes, y al menos otros 16 rebeldes. En esa operación, las autoridades colombianas decomisaron en el campamento una serie de pruebas instrumentales de carácter informático, a saber, tres ordenadores portátiles, dos discos duros externos y tres llaves USB. Dichos ordenadores constituían unas pruebas importantísimas, dado que eran susceptibles de contener una información muy valiosa sobre las FARC, sus campamentos, agentes, planes, etc.
En un primer momento, debido al desconocimiento y a cierta precipitación, los agentes arrancaron dichos ordenadores e insertaron las llaves USB y discos duros externos, con los que estuvieron trabajando durante unos días en busca de información que pudiera resultar de interés. Al cabo de tres días, las autoridades colombianas se dieron cuenta de que no estaban gestionando correctamente las pruebas y pidieron ayuda independiente a Interpol para que se ocupase correctamente del tratamiento de dichas evidencias electrónicas y determinar si se habían introducido nuevos archivos de usuario o se habían modificado o eliminado los ya existentes, después del decomiso efectuado por las autoridades colombianas realizado unos días atras.
Interpol envió al lugar a dos agentes expertos en informática forense, que es como se denomina a una de las disciplinas menos conocidas de la informática, que se ocupa principalmente de estudiar las pruebas informáticas para responder a las preguntas de cómo y quién hizo qué, a partir del estudio de los rastros digitales que toda actividad deja en los sistemas informáticos.
¿Qué hicieron dichos agentes? Lo primero de todo, hacerse cargo de la cadena de custodia de dichas evidencias electrónicas, es decir, identificar y registrar todos los elementos, tanto a nivel externo o físico (marca, modelo y números de serie de los ordenadores y sus discos duros) así como a nivel interno o lógico, identificando de manera inequívoca la información contenida en todos los soportes digitales mediante el cálculo de hashes.
El primer paso de todo proceso forense es la adquisición de la información, es decir, la realización de copias exactas de todos los dispositivos. A este proceso se le llama copia espejo (o "imaging") y es diferente de una copia selectiva de archivos o de una clásica copia de respaldo (backup), ya que la copia espejo se realiza a bajo nivel (bit a bit), sin tener en cuenta el sistema de ficheros del disco.

Es muy habitual utilizar software especializados (no necesitan instalar, se ejecutan desde el CD o DVD) no utilizan el espacio de disco escenario del crimen. Tan sólo leen datos, garantizándose la asepsia en la recogida de pruebas.
Sea como fuere, son todas bastante parecidas, y casi todas tienen las mismas herramientas:
En este proceso hay que tratar de evitar, para no violar las prescripciones ITIL ni las de cualquier otro código de buenas prácticas al respecto, que la máquina esté sin servicio más tiempo del estrictamente necesario. Es imperativo que el personal al cargo de la máquina esté informado de la interrupción del servicio y la duración de la interrupción con carácter previo a la actuación.
La recolección de pruebas se centrará en los servicios que sospechemos estén o hayan sido comprometidos. No está de más recoger pruebas genéricas y de servicios aparentemente no comprometidos, todo dependerá de la ventana de tiempo asignada para la recuperación de la máquina analizada. Para estos menesteres, las distribuciones forenses están repletas de herramientas libres de análisis.
Reanimación cautelar
Una vez detectadas las fuentes de problemas, se procede a subsanar y a reanimar los servicios. A veces es necesario reactivar la máquina antes de subsanar, por cuestiones de tiempo. Sea como fuere, el análisis de campo debe concluir con la puesta en servicio de la máquina comprometida habiéndose aplicado las medidas cautelares de prevención estimadas como necesarias para garantizar que la máquina puede entrar en operación de un modo seguro.
El trabajo de gabinete
Con los registros y las evidencias, pasamos al trabajo de gabinete, eso sí, mirando de reojo la máquina reactivada, para verificar que las medidas de prevención funcionan y para ver si la actividad sospechosa ha finalizado o no. El trabajo de despacho concluye con el informe o análisis forense, un documento que debe contener, al menos:
Descripción detallada de las condiciones de contorno antemortem
Descripción de la situación del sistema postmortem
Descripción de los datos recolectados, metodologías y herramientas aplicadas
Descripción de las medidas cautelares de recuperación y garantías obtenidas
Informe final de incidencias, causas y medidas de corrección
Análisis completo de servicios y estado de vulnerabilidad global
Proposición de mejoras y conclusiones

Tras la copia espejo, se calculan los hashes, que permiten saber si la copia realizada es exacta al original y, al mismo tiempo, identifica la información contenida en cada uno de los dispositivos. De manera que, a partir del momento en que se ha calculado el hash, siempre se podrá saber si la información original o cualquiera de sus copias es idéntica y si ha sido alterada.
Posteriormente al proceso de imaging y cálculo de los hashes, se comienza a trabajar en el análisis de las copias espejo (imágenes) realizadas. Siempre se trabaja tomando la precaución de no escribir sobre dichas imágenes, ya que no deben alterarse nunca. Para este tipo de análisis se utiliza software especializado que, por una parte, permite trabajar sin que se altere la información de partida y, por otra parte, proporciona un conjunto de herramientas para realizar el análisis forense correspondiente.
Un análisis forense suele ser un proceso técnicamente muy complejo, que requiere de unos conocimientos informáticos muy avanzados, principalmente de los sistema de ficheros y funcionamiento a bajo nivel del sistema operativo. En el análisis forense llevado a cabo por los expertos de Interpol, se realizó en primer lugar un estudio de la línea de actividad de los dispositivos, la denominada en el argot forense "timeline", con el objeto de conocer si se había producido una alteración significativa de la información contenida en los discos duros y memorias USB, causada por el uso de los mismos por parte de los agentes que intervinieron el material en los días posteriores a la incautación.
El simple hecho de que los ordenadores fueran arrancados sin utilizar ninguna precaución de bloqueo de escritura es suficiente para que se haya producido una alteración de los ficheros del sistema, habiéndose creado, copiado y movido diferentes ficheros del sistema y de las aplicaciones arrancadas. Con el estudio, siempre complejo y delicado, de la "timeline", los expertos forenses pudieron conocer qué había sucedido en los días posteriores a la intervención con los ficheros del ordenador. De este modo, pudieron determinar, si además de algunos ficheros del sistema y de aplicación, los ficheros de usuario (ficheros de texto, hojas de cálculo, etc.) habían sido alterados, llegando a la conclusión de que no hubo ninguna alteración de este tipo de ficheros en los días posteriores a la intervención y que ningún archivo de usuario había sido eliminado o añadido.