Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
TESINA DESEMINARIO
INGENIERO EN CIENCIASCOMPUTACIONALES
ESPECIALIZACIN SISTEMAS MULTIMEDIA
Presentado por:
Guayaquil-Ecuador
AO 2011
ii
AGRADECIMIENTO
A Dios en primer lugar por bendecirnos durante
DEDICATORIA
A nuestra familia, maestros y amigos.
iv
TRIBUNAL DE SUSTENTACIN
DECLARACIN EXPRESA
------------------------------------------------- --------------------------------------------------
Gisell Stephanie Guzmn Reyes Jessica Margarita Salinas Gonzlez
--------------------------------------------------
Ricardo Gregorio Caldern Valdiviezo
vi
RESUMEN
informtico.
este trabajo se buscar definir las funciones y mtodos que utilicen los
con el hecho.
viii
NDICE GENERAL
AGRADECIMIENTO ..........................................................................................................ii
DEDICATORIA ..................................................................................................................iii
TRIBUNAL DE SUSTENTACIN .................................................................................... iv
DECLARACIN EXPRESA...............................................................................................v
RESUMEN vi
NDICE GENERAL .......................................................................................................... v iii
NDICE DE ILUSTRACIONES ........................................................................................ xi i
NDICE DE TABLAS ....................................................................................................... xi ii
GLOSARIO ...................................................................................................................... xiv
INTRODUCCIN...........................................................................................................xxxi i
1. PLANTEAMIENTO DEL PROBLEMA .....................................................................33
1.1. ANTECEDENTES .............................................................................................33
1.2. OBJETIVOS .......................................................................................................34
1.2.1. OBJETIVOS GENERALES ..........................................................................34
1.2.2. OBJETIVOS ESPECFICOS .......................................................................35
1.3. SITUACIN ACTUAL ........................................................................................35
1.4. JUSTIFICACIN................................................................................................37
1.5. ALCANCE ..........................................................................................................38
2. DELITO INFORMTICO ..........................................................................................39
2.1. CONCEPTO DE DELITO INFORMTICO ......................................................39
2.2. TIPOS DE DELITOS INFORMTICOS ...........................................................40
3. LEGISLACIONES, CONVENIOS Y ORGANIZACIONES .....................................44
3.1. LEGISLACIN NACIONAL ..............................................................................44
3.2. EJEMPLOS DE LEGISLACIN INTERNACIONAL .......................................47
3.3. CONVENIOS INTERNACIONALES ................................................................50
3.4. ORGANIZACIONES INTERNACIONALES .....................................................51
4. ESTUDIO DE LA CIENCIA FORENSE DIGITAL ...................................................53
ix
NDICE DEILUSTRACIONES
NDICE DE TABLAS
GLOSARIO
Blu-Ray.-Es unformatodediscopticodenuevageneracinquepermitela
recibe la orden de enviar simultneamente trfico de red a los sitios web que
Cookies.-Es unfragmentodeinformacinquesealmacenaeneldiscoduro
Cibercriminal.-Personaquehacometidooprocuradocometeruncrimen, es
(12)
decir una accin ilegal, haciendo uso de medios informticos .
xvi
Escner.-Es undispositivoqueseutilizaparaconvertir,atravsdelusode
(18)
la luz, imgenes o documentos impresos a formato digital .
xvii
Exploits.-Softwaremaliciosoqueseusaparatomarventajadebugs, fallas y
que se propaga por una red auto replicndose enviando copias de s mismo
(25)
a otros nodos .
seguridad (26).
Metadatos.-Sondatos quedescribenodefinenalgnaspectodeunrecurso
(31)
de informacin (como un documento, una imagen, una pgina web, etc.) .
un mensaje de texto, una llamada telefnica, una pgina web falsa, una
archivo de texto que deben ser interpretados lnea a lnea en tiempo real para
consiste en sumar cada uno de los bytes y almacenar el valor del resultado.
ABREVIATURAS
fichero.
ARP:Address ResolutionProtocol(ProtocolodeResolucindeDirecciones),
especfico.
almacenamiento.
el mundo.
el registro producido por una central telefnica que contiene detalles de una
llamada telefnica.
memoria.
Educacin Superior.
xxiii
divisin polinomial.
tipo de memoria RAM voltil, sncrona y dinmica que permite una alta
CDs.
EIDE: Enhanced IDE (Extensin de IDE), es una extensin del IDE, una
FTP:FileTransferProtocol(ProtocolodeTransferenciadeArchivos).
xxiv
equivalente a 10 9bytes.
HLR:HomeLocationRegister(RegistrodeUbicacinBase),es unabasede
mvil.
una red.
normas internacionales.
al medio.
principio del disco duro que contiene una secuencia de comandos necesarios
MD2:Message-Digest Algorithm2(AlgoritmodeResumendeMensaje2), es
MD4:Message-Digest Algorithm4(AlgoritmodeResumendeMensaje4),es
Rivest en 1995 y est basado en dos algoritmos anteriores MD2 y MD4, este
OEA:OrganizacindeEstados Americanos.
Administracin).
ONU:OrganizacindeNaciones Unidas.
un computador.
PUK:PersonalUnlockingKey (ClavePersonaldeDesbloqueo).
mltiples discos duros o SSD entre los que distribuyen o replican los datos.
almacenamiento.
almacenamiento de datos.
TLC:TratadodeLibreComercio, es unacuerdocomercialregionalobilateral
Latina.
Ininterrumpida).
xxx
identificacin.
base de datos voltil que almacena, para el rea cubierta por una central de
que permite una extensin de la red local sobre una red pblica o no
pginas web.
xxxii
INTRODUCCIN
delictivos.
anlisis de datos, todo ello con el fin de recolectar evidencia y darle validez
en un proceso judicial.
1. PLANTEAMIENTO DEL
PROBLEMA
1.1. ANTECEDENTES
DSURSLDFLyQ
LQGHELGD
SHQDOL]DGD
HQ HO &yGLJR
3HQDO,
fue la
Esta fiscala maneja una estructura que ha tenido que variar para
1.2. OBJETIVOS
Ecuador.
evidencia digital.
35
informticos.
judiciales.
estandarizada.
1.4. JUSTIFICACIN
1.5. ALCANCE
Forenses Digitales.
campo en el que incurren este tipo de delitos, por esto existen varios
captulo.
(46)
La ONU (Organizacin de las Naciones Unidas) reconoce y
Lasfalsificacionesinformticas,quepuedenserclasificadasdela
daarla.
3. LEGISLACIONES, CONVENIOS Y
ORGANIZACIONES
(51)
Ley de Propiedad Intelectual , que garantiza y reconoce los
(52)
Ley Especial de Telecomunicaciones , la cual tiene por objeto
electromagnticos.
(53)
LeydeControl Constitucional (HabeasData) , lacualestablece
(54)
Cdigo Penal Ecuatoriano , en el cual no se encuentran
(56)
En Argentina, en Junio del 2008 se promulg la Ley No 26388
(58)
En Estados Unidos, el Acta de fraude y abuso informtico fue
modificacin castigaba:
49
etc.
(60)
En Austria , la Ley de Reforma del Cdigo Penal del 22 de
(61)
Francia, a travs de la Ley No. 88-19 de 5 de enero de 1988
delitos penados.
Espaa,posiblementeelpas quetienemayorexperienciaencasos
(62)
de delitos informticos en Europa , a travs del Cdigo Penal,
manipulacin informtica.
3.3. CONVENIOSINTERNACIONALES
delitos informticos.
51
(63)
El Tratado De Libre Comercio , que propugna la existencia de
sancionados.
(64)
El Convenio De Budapest , quees elnico acuerdointernacional
3.4. ORGANIZACIONESINTERNACIONALES
delitos como:
(65)
Business Software Alliance (BSA) , quees una asociacin que
sitios de subastas.
(66)
Organizacin de Naciones Unidas (ONU) , que es una
(67)
Organizacin de los Estados Americanos (OEA) , que est
FORENSEDIGITAL
legal.
IntercambiodeLocard,criminalistafrancs,pioneroenestaciencia,
caso.
adicionales.
5.2. CLASIFICACIN
categoras:
parciales de datos.
detalles.
60
principios.
servicios de telecomunicaciones.
del crimen y quienes deben cumplir con requerimientos legales para ser
como medio o fin, debe ser usado en casos civiles, en los delitos
KLSyWHVLV
D ORV FXDOHV ORV
WDPELpQ
OODPD
LQYHVWLJDGRUHV HQ
(79)
LQIRUPiWLFD
.
proceso judicial. Las reas principales que debe cubrir para llegar a
clasificacin de la informacin.
presentacin de informes.
Preservar la evidencia.
Hoja de vida.
materias.
6.5. CERTIFICACIONESPROFESIONALES
fin de que los forenses que tengan esta certificacin cuenten con
METODOLOGA FORENSE
DIGITAL
como:
72
allanamiento.
lugar completo.
evidencias.
definida en el Anexo F.
los dispositivos.
evidencia.
el cambio de custodia.
75
laboratorio.
cual solo podr acceder personal del laboratorio que cuente con
la debida autorizacin.
almacenadas.
Toda persona que reciba una evidencia fsica por parte del
anlisis.
destruccin.
78
debate.
caso.
7.2. PROCEDIMIENTOSTCNICOS
funcin.
trabajar.
80
laboratorio.
81
Opcin1:Sepuedeusaruncableconvertidor(IDEoSATA)a
(91)
Retencin de tiempos y fechas . Durante el anlisis,
ms sencillo.
Generarlosprocesosdesumadeverificacincriptogrfico
(91)
de la evidencia digital (copia y original) . Se genera un
MD5.
ocurridos.
84
hechos.
el hecho.
Categoras dedatos.
disco duro.
en el Anexo P.
87
interna.
referencia.
Fuentede Por
Quin? Qu? Dnde? Cundo? Cmo?
evidencia qu?
Identificadores
dedispositivo X
/suscriptor
Registrode
X X
llamadas
Directorio
X
telefnico
Calendario X X X X X X
Mensajes X X X X X X
Ubicacin X X
Contenidode
X X X X X X
URLdeweb
Imgenes/
X X X X X
video
Otrocontenido
X X X X X X
dearchivo
CIENCIASFORENSES
DIGITALES
8.1. INSTALACIONES
continuacin:
91
laboratorio.
92
resultados:
interferencia electromagntica.
elctrico
del laboratorio.
94
analizar.
Diseo1.
no.
97
Armarios deevidencias
TP reade
almacenamiento
reamecnica
reade anlisis
A E
c l
c
e re
s a
o TP
Y D
E e
n C
tr o
a n PCinternete
d
a
tr
o
PCforense
l
D
intranet
e
TP
Diseo2.
evidencia.
a
lm
a m
c m A
e 0re e
v rm
E n 0a id a
l
a 12 e ri
re md m n o
ie e
c s
a m ia
s d
D
e n 0
0 e
C to 5 P
o C
n
tr fo
o re
l reade anlisis
D
e n
A s
c e
c
e
s
o
Y rea mecnica
E
n
tr
a
d
a
Diseo3.
laboratorio.
PCforense P
C
in in
tr te Armarios de
a
n rn evidencias
rea de anlisis e e
t t
e
PCforense
rea de
almacenamiento
A E
c l
c
e re
s
o a
Y D
E e
n C
tr o
a n rea mecnica
d tr
a o
l
D
e
caso.
Pulsera Antiesttica
Soplador
8.2. EQUIPOSINFORMTICOS
forense.
duros los cuales se usarn para los anlisis de las pruebas de una
equipo base que ser una desktop y un equipo porttil que ser una
Equipo baseforense.
estan: Procesador con una alta capacidad para tener una mayor
Equipo Portatil.
Accesorios adicionales.
Easy
Digital Fox
Deft Forensics Recovery Chrome
Encase Caine Forensics Analys
Extra Toolkit Profession Analysis
Framework is
al
Clonacin de
X X X
discos
Comprobar
integridad X X X X
criptogrfica
Informacin del
X X X X
sistema
Adquisicin en
X X X X
vivo
Recuperacin
X X X X
de contraseas
Recuperacin
de archivos X X X X
borrados
Recuperacin
de emails X X
borrados
Anlisis
forense en X X X
redes
Anlisis
forense en X X X X X X
navegadores
Anlisis de
dispositivos X X
mviles
Anlisis de
firmas de X
archivos
Bsqueda de
X X X
archivos
Utilitarios
X X
extras
Reporte manual X
Reporte
X X
automtico
Volcado de
X
memoria RAM
Adquisicin de
X
evidencia RAM
Herramientas
de X
automatizacin
el Anexo M.
disponibilidad de recursos.
109
correctivo:
anlisis.
110
repararlo.
Mantenimientodelas instalaciones
podra reubicarse en otra rea del edificio y este saln ser asignado
ingenieras.
en el ingreso al lugar
laboratorio.
con una divisin de vidrio que separa el saln con el exterior, la cual
debe ser cambiada con una pared de cemento. De las tres reas
digital.
116
del anlisis.
9. EJEMPLOS DE ESCENARIOS DE
APLICACIN DE LA
METODOLOGA
evidencia digital.
captulo 5.3.
manera:
Mensajes de texto
Directorio telefnico
Llamadas realizadas
Llamadas recibidas
120
Llamadas perdidas
Fotos
Videos
Audio
Calendario
Notas
Tareas
investigado.
Anlisisde PC de escritorio
O se determina:
memoria.
Obtencin de imgenes.
(Anexo J).
Pasos a seguir:
informacin necesaria.
zona de origen.
Escenario 1:Quelamquinaestcomprometidadentro
Escenario2:Elcorreofueenviadodirectamentedesde
el equipo.
124
correo.
Escenario 1:Quelamquinaestcomprometidadentro
Escenario2:Elcorreofueenviadodirectamentedesde
el equipo.
COMUNIDAD DRAGONJAR.
los resultados.
artculo acorde, que tenga similitud con el fin del delito cometido. Estos
hasta los agentes fiscales que llevan el caso, deben ser capacitados
un juez.
Hora:9:30am
Informticos y Telecomunicaciones
evidencian.
Hasta hace algunos aos no haba gran cantidad de denuncias de este tipo
acerca de este tema, surgieron carias ideas. Ahora contamos con leyes
telecomunicaciones especficamente.
Informticos o electrnicos.
que trabaja con nosotros externamente como los peritos informticos tienen
experiencia adquirida.
Tipos de delitos informticos ms denunciados
les fue robado. Adems consideran que es un proceso muy lento y se pierde
mucho tiempo.
forenses digitales
para esto.
AL LABORATORIO
INGRESO DE EVIDENCIA
Nmero de caso:
Fecha de ingreso:
Hora de ingreso:
Entregada por:
Fiscal asignado:
Objeto de la investigacin:
Descripcin de la evidencia:
Observaciones:
Recibida por:
X X
Entregada por Recibida por
ANEXO C:INVENTARIODE
EVIDENCIA
INVENTARIO
EVIDENCIAALMACENADA
ENTRADA Y SALIDA DE EVIDENCIA
Nmero de caso:
Cdigo de evidencia:
Ingreso: Salida:
Fecha:
Hora:
Justificacin:
Responsable:
X
Responsable
ANEXO E: FORMULARIO ANLISIS
DE EVIDENCIA
ANLISIS DE LA EVIDENCIA
Nmero de caso:
Cdigo de evidencia:
Tipo de anlisis:
Responsable:
Fecha:
Hora inicio:
Duracin:
Detalle de anlisis:
Resultado:
X
Responsable
ANEXO F:ACTA DE RECOLECCION
DE PRUEBAS
ACTA DERECOLECCION DE PRUEBAS
NMERO DE PRUEBA:________
FECHA ____/____/________ (dd/mm/aaaa)
HORA ____:____ 0-24HORAS (hh:mm)
LUGAR DE RECOLECCION________________________________________
_______________________________________________________________
CANTIDAD _____________
MARCA ________________________________________________________
MODELO _______________________________________________________
FABRICANTE ___________________________________________________
DESCRIPCION DE LA PRUEBA____________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_____________________________________________________________
NOMBRES Y APELLIDOS_________________________________________
CARGO________________________________________________________
FIRMA__________________________________
ANEXO G:INGRESO Y SALIDADEL
LABORATORIO
Control de ingreso y salida
Fecha Nombre Hora entrada Hora salida Firma
X
Responsable
ANEXO H:INGRESO DE
VISITANTESALLABORATORIO
REGISTRO DE INGRESO DE VISITANTES
FECHA:
TURNO:
HORA DE HORA
APELLIDOS Y NOMBRE FIRMA ASUNTO
INGRESO SALIDA
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
Firma y Sello
Supervisor
ANEXO I: PENALIDADES PARA
INFRACCIONESINFORMTICAS
Tabla I.1 - Cdigo Penal Ecuatoriano
Divulgacin o
utilizacin
fraudulenta de la
$2000 a
informacin por 6 a 9 aos
$10000
parte de la misma
persona o
custodios.
Programas,
datos, base de
Art. no
datos o mensajes
numerado 6 meses a 3
de datos de un $60 a $150
Daos aos
sistema de
informticos
informacin o red
electrnica.
Infraccionesinformticas Represin Multa
Programas,
datos, base de
datos o mensajes
de datos de un
sistema de $200 a
3 a 5 aos
informacin o red $600
electrnica de un
servicio pblico o
de defensa
nacional.
Si no se tratar
8 meses a 4 $200 a
de un delito
aos $600
mayor.
Utilizacin
fraudulenta de
sistemas 6 meses a 5 $500 a
Art. no informticos y aos $1000
numerado redes
Apropiacin electrnicas.
ilcita
Uso de claves,
1 ao a 5 $1000 a
tarjetas,
aos $2000
seguridades.
Art. 262
Destruccin maliciosa 3 aos a 6
Empleado pblico o persona aos
encargada de un servicio pblico
Art. no numerado
Falsificacin electrnica, alteracin o
modificacin de mensajes de datos 3 a 6 aos
e informacin contenida en cualquier
sistema de informacin o telemtico
Art. 563
Estafa $500 a
3 a 6 aos
Apropiacin de cosas utilizando $1000
medios electrnicos y telemticos.
ANEXO J:CRIPTOGRAFA
Por cifrado o encriptacin , nos referimos al proceso de ocultar informacin
o hacerla ilegible a primera vista, para que dicha informacin pueda ser leda
amplio, aplicando desde las tcnicas de cifrado clsicas hasta reas como la
datos (1).
Algoritmo criptogrfico
con una clave provista. El resultado de este clculo son los datos cifrados.
con una clave provista, siendo el resultado de esta combinacin los datos
hacer tan difcil como sea posible descifrar los datos sin utilizar la clave.
Tiposde Algoritmos
Cifrado Descifrado Ventajas Desventajas
algoritmos msusados
El receptor debe DEScon
conocer la tamao de clave
clave, cmo se de 56 bits
Rpido y permiten transmite sin
cifrar y descifrar comprometer su Triple-Descon
Clave a Clave a seguridad?
Simtrico eficientemente con tamao de clave
(privada) (privada)
claves relativamente de 128 bits a
grandes No permite 256 bits
autenticar al
emisor ya que Blowfishcon
una misma tamao de clave
Tiposde Algoritmos
Cifrado Descifrado Ventajas Desventajas
algoritmos msusados
clave la utilizan de 128 bits a
dos personas. 256 bits
AEScon
tamaos de
clave de 128,
192 o 256 bits
Nmero de claves
reducido, cada RSAcon
individuo necesitar tamao de clave
nicamente un par de mayor o igual a
claves. La necesidad de 1024 bits
un tercero
(Autoridad de
Certificacin) en DSAcon
Dificultad para tamao de clave
encontrar la clave el proceso
de 512 bits a
privada a partir de la 1024 bits
Clave
Asimtrico Clave privada pblica. Se precisa
publica
mayor tiempo
de proceso y ElGamalcon
claves ms tamao de clave
No es necesario
grandes comprendida
transmitir la clave
entre los 1024
privada entre emisor y
receptor. bits y los 2048
bits
Permite autenticar a
quien utilice la clave
privada.
Algoritmo Simtrico
(3)
Ilustracin J. 2 - Algoritmo Simtrico
(4)
Ilustracin J. 3 - Algoritmo Asimtrico
Cifrado hbrido
Por lo general, las conexiones seguras de Internet utilizan una mezcla de los
cifrados tengan menos volumen. Como hay que transmitir la clave del cifrado
privada, y una vez tenida esta clave, descifrar el mensaje. Esto garantiza una
conexin segura.
SSL (SecureSocketLayer)
Firma digital
mismo.
anteriormente
para extraer la firma cifrada como para descifrarla, por lo que tambin
VPN (VirtualPrivateNetwork)
Es una red con las caractersticas de una LAN, pero est extendida
sobre una red pblica como Internet; esto es, tiene el control y la
seguridad que ofrece una red LAN pero topolgicamente tiene un
Cifradode archivos
cifrado para que slo pueda ser accedido por quienes tengan la clave de
Cifradode discoduro
Tener todo el sistema de archivos cifrado permite que cada vez que se
Existen varios mtodos para obtener la clave que se necesita para descifrar
(6)
informacin, entre las cuales definimos :
1. Fuerza bruta
ceros detrs de l.
8 256
40 1,099,511,627,776
128 18,446,744,073,709,600,000
256 1.15792 * 1077
512 1.3408 * 10154
(6) Linda Volonino - Reynaldo Andaluza. Computer Forensics For Dummies. ao 2008.
Con los avances en los algoritmos de criptografa y de larga longitud
de las claves, encontrar una llave por la fuerza bruta suele ser poco
contrasea.
2. Ataque dediccionario
televisin, etc.
mucho ms extensas. Por lo cual Las tablas del arco iris permiten
4. Keystroke logger
5. Snooper software
7. Cache checking
en una memoria cach temporal. Los usuarios que permiten que sus
Encriptacin AES256
AES proporciona una encriptacin segura, utiliza una de las tres fortalezas de
clave de cifrado: Una clave de encriptacin de 128-, 192-, o 256- bits. Cada
(8) Cceres Sosa Arnold Ylla - Jhony &UX] (QFULSWDFLyQ GH GDWRV XQD YLVWD JHQHUDO
2008. Slideshare. 1 de Mayo 2011. <htt p :// www . s li deshare . ne t/ chris ti an i ko l a i/ encr i p t ac i on-
de-da t os-una-v i s t a-genera l>
diferente, por lo que el aumento de tamao de clave no slo ofrece un mayor
nmero de bits con el que se pueden cifrar los datos, sino tambin aumentar
Pruebas realizada para tamaos de clave de 64, 256, 1024 bits variando el
tamao del nPHUR SULPR 6H KD FLIUDGR OD SDODEUD KROD SDUD FDGD XQR GH
los casos.
Pruebas realizada para tamaos de clave de 64, 256, 1024 bits variando el
tamao del nmero primo. Se ha FLIUDGR OD SDODEUD KROD SDUD FDGD XQR GH
los casos.
tamao del nPHUR SULPR 6H KD FLIUDGR OD SDODEUD KROD SDUD FDGD XQR GH
los casos.
64 1024
2 2 8.6875 8.3438 8.5438
256 1024
2 2 11.6406 10.7969 11.3969
512 1024
2 2 18.3594 15.7500 17.0688
1024 1024
2 2 33.9531 30.1250 32.9531
Nombre Algoritmosusados
AFNeoCryptor AES
EncryptionandDecryption- AES
- free
TextEncrypt Blowfish
SISTEMA
(1)
Elementos a analizar segn el tipode sistema
1. Sistemas Informticos
Plataforma Windows
Windows)
Papelera de reciclaje
superiores)
Plataforma Unix/Linux
Ficheros SUID/SGID
_______________________________
Logs de aplicaciones.
2. Redes
Logs de mdems.
Informacin de routers.
Cache ARP.
Puntos de acceso
direccin de facturacin.
operacin y administracin).
de la HLR.
Telfonos mviles
Mensajes de texto
Organizadoresde mano
RAM.
4. Sistemas embebidos
Tarjetasde memoria
son:
FAT. Contiene la lista que describe los clster ocupados por los
ficheros.
actuales.
ANEXO L: PRESUPUESTO INICIAL
ADECUACIONES
Presupuesto Inicial
Cantidad Precio Global
Unitario
Sistema Circuito Cerrado $ 1,255.0
Sistema de Alarma $ 190.0
Sistema contra incendios (extintores) 1 $ 500.00
Aire acondicionado 48000btu 1 $ 1,000.00
Enrutador $ 300.00
Conmutador $ 200.00
Cable de red $ 0.70 $ 50.00
Cable telefnico $ 0.50 $ 50.00
UPS 1000 VA 4 $ 62.00 $ 248.00
Generador de Energa a diesel $ 1,000.00
Disco duro externo 2TB ETHERNET $ 338.39
Cerraduras biomtricas $ 400.00
Cerraduras tipo multilock $ 160.00
Copiadora e impresora $ 600.00
Herramienta varias (destornilladores, $ 500.0
pinzas, entre otras)
Mobiliario $ 1,500.00
Adecuaciones (divisiones, pintura, entre $ 3,000.00
otra)
TOTAL $ 11,291.4
Encase
continuacin:
Forense(Forensics)
Bsqueda(Search)
Utilidad(Utility)
Reporte(Report)
(2) Deft Linux. 2010. 10 de Mayo 2011. <h tt p :// www . de ftli nux . ne t/>
caractersticas:
Forenses Digitales.
Digital ForensicsFramework
(5)
Es un estndar de tecnologa de investigacin informtica forense .
Anlisis de vanguardia.
Interfaz intuitiva.
Discos extrables.
Disquetes.
Soportes perifricos.
Soportes digitales.
(5)Forensics Toolkit. 10 de Mayo 2011. <h tt p :// www .f orens i cs .i e / so ft ware / product /f orens i c-
t oo l k it - ft k />
(6) 5HFXSHUDFLyQ GH GDWRV \ UHSDUDGRU GH DUFKLYHV 2011. Kroll Ontrack Inc. 10 de Mayo
2011. <htt p :// www . on t rackda t arecovery . es / so ft ware-recuperacion- fi cheros />
Fox Analysis
sesin.
o Rangos de fechas.
o Estado de la descarga.
o Por seleccin.
ChromeAnalysis
sesin.
o Rangos de fechas.
o Estado de la descarga.
o Por seleccin.
Comerci
Tipo Libre Libre Libre Libre Comercial Libre Libre
al
Estndarde
Si No No No Si No No No
laindustria
Multiplatafo
Si Si Si Si No Si No No
rma
SOFTWARE PARAANLISIS DE DISPOSITIVOSMVILES
MOBILeditForensic
BitPIM
CDMA como LG, Samsung, Sanyo, etc. pudiendo obtener datos que
(11) BitPIM. 2010. 10 de Mayo 2011. <h tt p :// www . b it p i m.org />
Oxygen Forensic Suite
Contactos
Calendario.
Historial de llamadas.
Notas.
Entre otros.
UndeleteSMS
(12) Oxygen Forensic Suite 2011. 2011. 10 de Mayo 2011. h tt p :// www . oxygen-
f orens i c . com / en /
Software Tipo
Comercial con versin gratuita
MOBILedit!Forensic
reducida
ART-Mobile Comercial
BitPIM Comercial
Comercial con versin gratuita
Oxygen ForensicSuite reducida
UndeleteSMS Libre
CellSeizure Comercial
Forense Digital
ALTERNATIVA DEIMPLEMENTACION 1
Equipoportatil
Bloqueadordeescritura
Encase
Permite visualizar previamente los
datos mientras se obtienen imgenes
de unidades o de otros medios.
Compatibilidad con diversos sistemas
de archivos 3,600
Compatibilidad con RAID avanzada
Versin
Software forense mvil para anlisis
OxygenForensicSuite profesional
estndar de telfonos celulares,
WHOpIRQRV LQWHOLJHQWHV 1,499
\ 3'$V
Total 43,027.74
ALTERNATIVA DEIMPLEMENTACION 2
Equipoportatil
Duplicador
Forensictalonkit
Bloqueador deescritura
Adaptadores y conectores
FRED
Obtiene informacin de
dispositivos PDA, Blackberry de
CelldeskTek Windows y Garmin y dispositivos 15,121.5
Tom Tom de navegacin satelital.
Adquiere llamadas perdidas,
salientes, recibidas, agenda,
Equipo Caractersticas Precio
SMS, SMS eliminados de la SIM,
MMS (mensajes multimedia),
calendarios, citas recordatorios,
imgenes, video, audio.
Equipo portatil
Total 4,599
ANEXO O: DETALLE SOFTWARE
DEFT-EXTRA
Anlisis de la herramienta Deft-Extra (Digital Evidence & Forensic
Toolkit)
Caractersticas
Funcionalidades
siguiente tabla.
Funcionalidad Descripcin
Muestra informacin bsica del
sistema:
Sistema operativo
Procesador
System Information RAM
Usuario
Host
Direccin IP
Unidades de disco
Drive Manager
WinAudit
USB Deview
User Profile View
WRR
System Information Utilities MSI
My Event View
CurrProcess
SystemInformation
RunningProcess
SystemInformationUtilities
Drive manager
WinAudit
Software instalado.
Seguridad.
Grupos y usuarios.
Tareas programadas.
Logs de errores.
Discos fsicos.
Discos lgicos.
ModuloLiveAcquisition
siguiente tabla.
Funcionalidad Descripcin
FTK Imager v 2.6.1 Herramientas para obtener
WFT Windows Forensics imgenes de las unidades de
ToolChest almacenamiento del sistema.
WINEN Herramientas para obtener una
MDD copia de la memoria RAM del
sistema.
WTF-WindowsForensicsToolChest FTKImagerv2.6.1
WINEN MDD
siguiente tabla.
Funcionalidad Descripcin
Recuva
Zero View
Forensics Tools
WFA
FileAlyzer
PC ON/OFF TIME
Terminal
NIGILANT 32
CurrPorts
AdapterWatch
SniffPass
Bluetooth View
WirelessNet View
IECookie View
IEHistory View
Web Browser Mozilla Cookie View
Mozilla History View
Historian
Mozilla Cache View
Opera Cache View
Chrome Cache View
FoxAnalysis
Index.Dat 2.0
ForensicsTools
Networking
WebBrowser
contraseas guardadas.
History view
MduloSearch
siguiente tabla.
Funcionalidad Descripcin
Permite la bsqueda de archivos en
Search los dispositivos conectados al
equipo mediante criterios, adems
permita la visualizacin de
miniaturas de los archivos
encontrados.
Ilustracin O. 18 - Pantalla Mdulo search
la alteracin de archivos.
MduloUtility
siguiente tabla.
Funcionalidad Descripcin
Herramientas de apoyo en el
anlisis forense digital
IncrediMail Me
TestDisk
Utility SumatraPDF
SkipeLog View
Pre-Search
RootKit Revealer
Putty
Photorec
Funcionalidad Descripcin
HoverSnap
HashCalc
Hexedit
AviScreen
IpNetInfo
LtfViewer
Notepad++
VncViewer
AbiWord
KeyLog
MduloReport
Funcionalidad Descripcin
En esta seccin el investigador
Report forense puede realizar anotaciones
de los hallazgos de su investigacin.
Este apartado del software permite hacer anotaciones de datos claves que
CELULARES
Anlisis con Oxygen Forensic Suite 2010
se encuentra:
Memoria fsica
Memoria cache
Archivos abiertos
Hora y fecha
Los siguientes pasos indican desde la deteccin del telfono celular hasta
3. Clic en Next.
9. Dar clic en Next aparece una pantalla para almacenar datos del caso.
11. Al dar clic en Next nos muestra los datos que se van a extraer, podemos
anlisis directamente.
almacenados en el celular.
21.Extras
Barra de herramientas
Save Recovered
Permite guardar los datos
Data
recuperados.
Help Ayuda
Exit
Salir
ANEXO Q:ARCHIVOCIFRADO
Podemos darnos cuenta de que un archivo est cifrado de varias maneras:
Archivo cifrado
Este archivo, carta garcia.docx est cifrado y al abrirlo encontramos
caracteres ilegibles que forman el contenido de este archivo.
ELECTRNICO
Para realizar el rastreo se necesita conocer la cabecera del correo
tarea.
Source:
Geo-Location Information
Country Ecuador
State/Region 08
City Arenillas
Latitude -3.55
Longitude -80.0667
Area Code
Otra informacin necesaria es el ISP, para obtenerla accedimos a la
siguiente direccin:
inetnum: 190.111.64/20
status: allocated
owner: CONECEL
ownerid: EC-CONE-LACNIC
responsible: Robert Ordez Dueas
address: Edif. Centrum, Av. Fco de Orellana y Alberto Borge, 1,
3er Piso
address: 5934 - Guayaquil -
country: EC
phone: +593 4 2693693
begin_of_the_skype_highlighting +593 4
2693693 end_of_the_skype_highlighting [2801]
owner-c: ROD
tech-c: ROD
abuse-c: ROD
created: 20100106
changed: 20100106
nic-hdl: ROD
person: Anibal Gamboa
e-mail: RedDaNac@CONECEL.COM
address: Edif. Centrum; Av.Fco. Orellana y Alberto Borges, 1, 1
address: 5934 - Guayaquil -
country: EC
phone: +593 4 2693693
begin_of_the_skype_highlighting +593 4
2693693 end_of_the_skype_highlighting [2020]
created: 20041208
changed: 20100105
ANEXO S:MQUINA
COMPROMETIDA
Botnet
Los botnets (o software robots) representan en la actualidad una de las
La mayor parte del tiempo ni siquiera nos damos cuenta que nuestro
Para que un computador se infecte y forme parte de una botnet requiere que
otros, son las principales maneras que pueden ocasionar que un ordenador
se convierta en un botnet.
Como Podemos Identificar Una Botnet?
Para detectar que nuestro computador est siendo usado en una botnet
incluyendo que el apagado del sistema sea muy largo o directamente falle,
Las aplicaciones andan muy lento , esto puede ocurrir porque programas
del antivirus o visitar sitios web de los proveedores : este es un sntoma que
no se puede ignorar.
contra otros equipos, puede causar que el acceso a internet sea muy lento.
una prueba bastante evidente de que eres parte de una red zombie.
Recomendaciones
pensar que nuestro actual antivirus no est dando los resultados que
FORENSEDIGITAL
Objetivos
caso sealado, y demostrar que este equipo fue utilizado para llevar a cabo
actividades ilcitas.
1. Descripcin de la Evidencia
Cada imagen posee el valor hash MD5, CRC32 y SHA-1 para comprobar su
CRC32: 76B78AE4
MD5: D542187FF2C9D651BAF40FF488C367FE
SHA-1: A51BA56118F094C910F9BF428ACF27FBD935679A
Parte 2 del RetoForense Comunidad DragonJAR
CRC32: 2F55CB1E
MD5: C33FA1AF1EBA82EB07182106E1A1B060
SHA-1: 63052A87F323BD729ACDB8AEF4FD311080E2D9C8
CRC32: 59CD3705
MD5: 08FF1B6A0E8CBD1DF1724B40B20228E2
SHA-1: D228E81F5FDC20F561967C8EBF15CD49B7EB6F96
CRC32: 125309ED
MD5: 6F0D583A6560D49004B9FD52065CDBC2
SHA-1: 29E52CD2A28CA65007CD16FD95418B566B1F0980
CRC32: 731CF2D6
MD5: 4FD27F4415BE756B0C47BD04C54D586C
SHA-1: FB6B31CD8A4D2ED5E6D9EF96B974485826F2399D
2. Entorno de trabajo
3. Herramientas utilizadas
Herramienta Descripcin
VMware Software de emulacin de mquinas
virtuales.
Deft extra Kit de herramientas y utilidades
forenses
Imager Lite Adquisicin y tratamiento de
imgenes para ser posteriormente
usadas y tratadas como de
evidencias forenses.
Lads Bsqueda de Alternate data Stream.
(ADS)
LAGADS Lista y extrae Alternate Data Stream
4. Recoleccin De Datos
Procesos en ejecucin
Servicios Activos
Programas Instalados
Temporales de Internet
Archivos borrados
5. Anlisis
http://www.mundoprogramacion.com/colabora/md5.zip
de comprobacin.
Ilustracin T. 1 - MD5
Service Pack 3.
herramienta WinAudit.
ingresar.
Ilustracin T. 3 - Detalles usuario administrador
normalmente.
Ilustracin T. 6 - Detalle WinAudit
256 bits.
Esta herramienta nos pide una contrasea para poder acceder. Para
posean extensin para poder compararlos con los del sistema que
sospechosos.
Ilustracin T. 16 - Fichero sospechoso
instalacin.
encontraron resultados.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
C:\WINDOWS\$NtUninstallKB954155_WM9$\spuninst
Ilustracin T. 24 - TrueCrypt.exe
Podemos ejecutar la aplicacin.
XUOV YLVLWDGDV
Internet\&RQWHQW,(
6.5. Imgenes de carcter pedfilo
GH 85/V YLVLWDGDV
Ilustracin T. 29 Bsqueda de URLs visitadas
E-mail de registro:VFDUIDFHILVLFD#KRWPDLOFRP
Usuario:scarface123
Fecha:19-12-2009 -21:27:47
de fotos.
Ilustracin T. 30 - Informacin de registro en el portal
de registro.
Ilustracin T. 43 - Datos en correo de hotmail
XVLFDO QRWLFLDV
0 YLGHRV \ GHPiV LQIRUPDFLyQ VREUH HVWD \
RWUDV
series infantiles y juveniles.
/DFXHQWD
VFDUIDFHILVLFD#KRWPDLOFRP
encuentra en la se
DocumentsandSettings\Administrador\Temp\0HVVHQJHU&DFKH
(Q OD UXWD&\DocumentsSettings\Administrador\Mis
and
datos cifrados, para esto probamos con las diferentes palabras claves
Descifrado
WINDOWS\$NtUninstallKB954155_WM9$\spuninst \D TXH QR VH
encuentra instalado en la carpeta por defecto sino que esa ruta fue
modificada por una no convencional con la intencin de mantenerlo
oculto.
expuestas anteriormente.
La hora y fecha de cada imagen est relacionada con las conversaciones a
http://imgsrc.ru/main/user.php?user=scarface123y encontramos
fin: 23:12:29
fin: 23:13:54
El sospechoso mantuvo conversaciones con la usuario Natalia en la
continuacin:
fin: 21:17:04
La fecha de la conversacin: 19-12-2009 Hora inicio: 21:20:44 Hora fin:
21:33:08
8. Posibles vctimas del sospechoso.
siguiente:
9. Cronologade actividades
Memoria fsica
Memoria cache
Archivos abiertos
Hora y fecha
Evidenciasno voltiles
Forensictalon Omniclone
Echoplus Supersonix
kit 2Xi
Velocidadde
copiado Hasta 1.8 Hasta 4 Hasta 6 Hasta 3.7
GB/min.
Conectividad
Si Si Si Si
IDE
Conectividad
Si Si Si Si
SATA
Conectividad
No No Si No
USB
Otras
EIDE, UDMA UDMA,SCSI Firewire No
conectividad
Soporta
clonacin No No No Si
mltiple
Nmerode
1 1 1 2
discos
Similar a disco Similar a disco
Tamao -- --
Accesorios
incluidos
Cables Si Si Si Si
Adaptadores No Si No No
Fuentede
Si Si Si Si
alimentacin
Software Si Si Si Si
Impresora
No Si No No
trmica
Otros -- Clonacard pro -- --
Precio
1,011.06 6,130.74 2,341.67 3,110.23
USD
en l, tenemos:
tcnicos.
interface IDE.
variaciones de voltajes.
en un caso.
[40] Bur de anlisis informativo, Segn las Fiscala es necesaria una ley
para regular delitos informticos,
http://www.burodeana li s i s.com/2010/09/07/segun-la-f i scalia-es-
necesar i a-una-ley-para-regu l ar-delitos- i nformaticos/
, fecha de
creacin 7 Septiembre 2010.
[54] Cdigo de Procedimiento Penal del Ecuador. Ley No. 000. Registro
Oficial/ Suplemento 360 de 13 de Enero del 2000.
[77] Ley 184 de Telecomunicaciones Registro Oficial No. 996 artculo 14.
Derecho al secreto de las Telecomunicaciones - Ecuador.