Delitos Informatico

DELITOS INFORMATICOS

• Miguel Ángel Bornacellis Herazo • Joseph Ferney Cruz Cañizalez • German Ico Alvarado • Juan Sebastian Tarazona Suárez • Ludwing Zarate Gomez

empezar_

DEEP WEB

Internet profunda, internet invisible o internet oculta es el contenido de internet que no está anexado por los motores de búsqueda convencionales, debido a diversos factores. El término “web profunda” hace referencia a todas las páginas web que los motores de búsqueda no pueden identificar. Los sitios de la web profunda pueden esconderse detrás de contraseñas u otros muros de seguridad, mientras que otros simplemente les dicen a los motores de búsqueda que no los “rastreen”.

EL LADO OSCURO DE LA WEB, LA DARK WEB

¿Por qué se le llama el lado oscuro de la web?

info

¿QUÉ PASA SI ME METO EN LA DEEP WEB?

Podría acceder a contenido comprometedor. Podría encontrarse con delincuentes. Podría llenar de virus su PC. Podría participar de actividades ilegales.

CARACTERÍSTICAS.

• Posee entre 400 y 500 veces más información que la Web normal• Entorno al 95% de la web profunda es de información accesible al público, es decir, no hay que pagar nada por ella. • Hay más de 200 mil millones de sitios web asociados a la Deep Web. • La relación contenido-calidad es de alrededor de un 1000% respecto de la web superficial. • Las páginas funcionan bajo software que protege su identidad, como puede ser TOR.

https://youtu.be/crkPLzuysKE

SEGURIDAD WI-FI Y CIBERGUERRA

SEGURIDAD WI-FI

Las redes wifi o conexiones inalámbricas cada vez son más populares debido al crecimiento de la tecnología. Miles de personas llegan a un café, una discoteca, una biblioteca, un museo, restaurante, entre otros, y se conecta a la red desde su teléfono inteligente o computador portátil. Seguramente tú lo has hecho, quizás por una necesidad de comunicarte con alguien cercano, revisar tu correo electrónico o lo que sea.

¿CÓMO SER MÁS SEGUROS?

El primer paso es asignar una contraseña para poder acceder a la red. Además, es recomendable que el tipo de cifrado de la red sea WPA2 que es más seguro que el WPA, WEP y TKIP. De ese modo, la información que circule en la red estará más segura en caso de que alguien quiera acceder a ella.

¿CÓMO SER MÁS SEGUROS?

También se recomienda configurar el router (el dispositivo que te conecta a internet) a través del protocolo HTTPS para evitar el robo de la contraseña, ocultar el nombre que identifica a la red wifi para que personas cercanas a la red no la vean cuando busquen una conexión a internet

WPA, WPA2, WEP, TKIP

WPA.

Es un sistema para proteger las redes inalámbricas; creado para corregir las deficiencias del sistema previo. WPA adopta la autenticación de usuarios mediante el uso de un servidor, donde se almacenan las credenciales y contraseñas de los usuarios de la red. Para no obligar al uso de tal servidor para el despliegue de redes, WPA permite la autenticación mediante una clave precompartida, que de un modo similar al WEP, requiere introducir la misma clave en todos los equipos de la red.

WPA2.

Es un sistema para proteger las redes inalámbricas (Wi-Fi); creado para corregir las deficiencias del sistema previo en el nuevo estándar 802.11i. WPA, por ser una versión previa, que se podría considerar una "migración", no incluye todas las características del IEEE 802.11i, mientras que WPA2 se puede inferir que es la versión certificada del estándar 802.11i.

TKIP.

También llamado hashing de clave WEP WPA, incluye mecanismos del estándar emergente 802.11i para mejorar el cifrado de datos inalámbricos. WPA tiene TKIP, que utiliza el mismo algoritmo que WEP, pero construye claves en una forma diferente. Esto era necesario porque la ruptura de WEP había dejado a las redes Wi-Fi sin seguridad en la capa de enlace, y se necesitaba una solución para el hardware ya desplegado.

CIBERGUERRA

La ciberguerra es un área dentro de las agencias militares de los países que tiene como objetivo encontrar las vulnerabilidades técnicas de los sistemas o redes informáticas del enemigo para penetrarlas y atacarlas, tanto, así como para extraer datos e información sensible.

¿CUÁL ES EL OBJETIVO PRINCIPAL DE LA GUERRA CIBERNÉTICA?

La guerra cibernética, o guerra informática, o ciberguerra, es un tipo de guerra que ocurre en el ciberespacio, es decir, en ordenadores y las redes que los vinculan. Las naciones que participan en este tipo de hostilidades buscan interrumpir, paralizar o destruir infraestructuras específicas de sus oponentes.

¿CUÁNDO SE COMIENZA UNA CIBERGUERRA?

2011 y 2012: La Primera Guerra Informática Mundial: Ley SOPA (Stop Online Piracy Act) La ley SOPA, presentada por Lamar S. Smith, provocó movimientos de grandes empresas y usuarios. En contra se encuentran grandes páginas como Google, Facebook, Twitter, Youtube, y Wikipedia.

7 CLAVES PARA EVITAR CIBERATAQUES

Asegurar la protección de datos obrantes, especialmente los sensibles, y comprobar la información de correos desconocidos. Evitar usar contraseñas comunes. Las robustas y fuertes son menos factibles de vulnerar; sin embargo, se recomienda una política de cambio periódico de contraseñas. Tomar conciencia de los ciberataques en todos los niveles. Es necesario que los empleados sepan cómo evitar errores comunes y alertar posibles ataques. Un plan de crisis es necesario también para actuar correctamente.

7 CLAVES PARA EVITAR CIBERATAQUES

Análisis periódicos internos del servidor, de ser posible diarios. Monitorear y revisar las actividades en la red. Restringir los accesos de los equipos. Proteger todos los dispositivos conectados con herramientas eficientes y actualizadas permanentemente. Realizar copias de seguridad de toda la información para poder restaurar en caso de detectar vulneración del sistema.

¿CUÁLES SON LAS CONSECUENCIAS DE LOS CIBERATAQUES?

Los daños propios son, sin duda, la más evidente consecuencia de un ciberataque. Es la cara más visible en un ataque, independientemente de si es más o menos invasivo. Sus efectos repercuten en toda la infraestructura empresarial bloqueando sus sistemas e, incluso, pudiendo paralizar su proceso de producción.

ATAQUE CIBERNÉTICO SORPRESA

La idea de un "ciber Pearl Harbor" ha sido debatida por los estudiosos, estableciendo una analogía con el acto histórico de la guerra.​ Otros han utilizado el "ciber 9/11" para llamar la atención sobre el aspecto no tradicional, asimétrico o irregular de la acción cibernética contra un estado.

GUERRAS INFORMATICAS

1999 - Guerra de Kosovo Durante la intervención de los aliados en la Guerra de Kosovo, más de 450 expertos informáticos, al mando del Capitán Dragan, se enfrentaron a los ordenadores militares de los aliados. Este grupo, integrado por voluntarios de diferentes nacionalidades, fue capaz de penetrar en los ordenadores estratégicos de la OTAN, la Casa Blanca y del portaaviones norteamericano Nimitz, sólo como una demostración de fuerza, pues este no era su objetivo principal. Internet sirvió como grupo coordinador de actividades contra la guerra fuera de Yugoslavia.

GUERRAS INFORMATICAS

2003 - Taiwán En 2003, Taiwán recibió un posible ataque del que culpó a las autoridades chinas. No hay pruebas pero dejó sin servicio infraestructuras como hospitales, la Bolsa y algunos sistemas de control de tráfico. El supuesto ataque provocó un caos, progresivo y con una aparente organización, que además de un ataque de denegación de servicio (DDoS), incluyó virus y troyanos.

GUERRAS INFORMATICAS

2007 - Estonia En 2007, Estonia culpó a las autoridades de Rusia de diversos ataques continuados que afectaron a medios de comunicación, bancos y diversas entidades e instituciones gubernamentales. 2008 - Georgia En agosto de 2008 -guerra entre Rusia, Osetia del Sur, Georgia- se produjeron ciberataques a Georgia por parte de Rusia orientados hacia sitios gubernamentales.

GUERRAS INFORMATICAS

2010 - Irán A finales de septiembre de 2010, Irán también registró un ataque a las centrifugadoras del programa de enriquecimiento de uranio -programa nuclear iraní-. El troyano, virus o programa infiltrado recibió el nombre de Stuxnet. 2011 - Canadá atacada desde China En enero de 2011, según las autoridades canadienses, los sistemas de contraseñas del ministerio de Finanzas fueron víctimas de un ciberataque procedente de máquinas instaladas en China.

GUERRAS INFORMATICAS

2012 - Medio Oriente En mayo de 2012, es descubierto uno de los Malware más dañinos hasta la fecha llamado Flame o sKyWIper, el cual se especula que está diseñado para propósitos de Cyber-espionaje. Entre los países que se ven más afectados están Irán, Israel, Sudán, Siria, Líbano, Arabia Saudí y Egipto.39​ 2013 - Estados Unidos El 26 de octubre de 2013 se registraron en total unos 25 intentos de ataque a la red de electricidad hidroeléctrica de la ciudad de Chicago perpetrado por el gobierno de Luxemburgo por el director de la seguridad nacional, Franco Jair Sherer. Estados Unidos llevó a cabo una acción dirigida por el secretario de defensa Maximiliano Rolando con el objetivo de parar estos intentos de filtración de información. LSS es la organización acusada de realizar estos hackeos.

TÉCNICAS ANTI-FORENSE

TÉCNICAS ANTI-FORENSE

De acuerdo a la técnica anti-forense utilizada, se puede identificar la siguiente clasificación: 1. Destrucción de la evidencia. 2. Ocultación de la evidencia. 3. Eliminación de las fuentes de la evidencia. 4. Falsificación de la evidencia.

DESTRUCCIÓN DE LA EVIDENCIA

Este método busca tanto la eliminación de la evidencia como imposibilitar su recuperación.Para ello, se pueden llevar a cabo dos estrategias: Destrucción a nivel físico: por ejemplo mediante la aplicación de campos magnéticos u otros métodos menos sutiles o poco convencionales.

DESTRUCCIÓN DE LA EVIDENCIA

Destrucción a nivel lógico: mediante la sobre escritura de datos o la eliminación de los mismos.Para intentar recuperar información sobrescrita, dañada o eliminada se utilizan diferentes técnicas como el file carving o slack space.

FILE CARVING

es un proceso que consiste en la identificación y recuperación de archivos a partir de las características de formato de los mismos. En general, todos los tipos de ficheros tienen características comunes. Por ejemplo, atendiendo a su estructura, todos los ficheros JPG/JFIF empiezan por FF D8 FF E0 00 10 4A 46 49 46 00 y terminan por FF D9

FILE CARVING

Sabiendo esto, en bloques de datos, se pueden localizar aquellos que correspondan a JPGS en base al comienzo y fin de su estructura.

SLACK SPACE

Cuando Windows elimina un fichero, en el caso de los discos duros que no son SSD, no lo elimina realmente, sino que borra las referencias al propio fichero, como si de un libro de texto se eliminase el índice, pero no la información a la que referencia. Además, declara el espacio ocupado por el fichero como disponible, por lo que cuando se guarda un fichero nuevo se utiliza dicho espacio. En el caso de que el nuevo fichero ocupe un tamaño menor al tamaño del clúster en el que se va a almacenar (unidad más pequeña de almacenamiento de un disco, la cual está formada por varios sectores), el espacio sobrante es conocido como slack space, el cual mantiene información correspondiente a ficheros que han sido previamente eliminados.

SLACK SPACE

Así mismo, existen una serie de herramientas que permiten la ocultación de información de manera deliberada en el espacio sin asignar, si bien dicha información puede ser recuperada mediante técnicas forenses y software especializado.

OCULTAR LA EVIDENCIA

Este método no busca manipular o destruir la evidencia sino hacerla lo menos accesible posible. Para ello, se pueden utilizar técnicas como «covert channels» o esteganografía que permite la ocultación y el enmascaramiento de cierta información dentro de otra.Para detectar este tipo de prácticas, se deben utilizar herramientas de estegoanálisis, que mediante complejos mecanismos estadísticos o mediante la búsqueda de anomalías con respecto a los formatos estándar, buscan información oculta.

OCULTAR LA EVIDENCIA

En el ejemplo mostrado a continuación, correspondiente a esteganografía, ambas imágenes parecen exactamente iguales, sin embargo, la segunda contiene el texto oculto: "Mensaje secreto oculto con steghide".

OCULTAR LA EVIDENCIA

Un caso específico de «covert channels» es el sistema de archivos NTFS, que presenta una característica, conocida como Alternate Data Streams, a través de la cual se puede ocultar un fichero dentro de otro, como se puede observar en la siguiente imagen.

OCULTAR LA EVIDENCIA

Esta característica puede ser utilizada para esconder imágenes en ficheros de texto sin que éstos varíen su tamaño original o incluso para camuflar ficheros comprimidos dentro de imágenes. A partir de Windows Vista mediante el parámetro /R en el comando DIR se pueden visualizar las alternate data streams, pero para versiones anteriores se debe utilizar herramientas específicas como ADSCheck o Streams. La utilización de la criptografía como método de protección de información ha tenido una gran importancia a lo largo de la historia; desde los tiempos del cifrado César, pasando por la máquina Enigma, hasta la actualidad, se han utilizado diferentes métodos para añadir una capa de seguridad a los datos. El uso de herramientas de cifrado obstaculiza notablemente el trabajo de un investigador, el cual debe remitirse a métodos de criptoanálisis como meet in the middle, side-channel attacks o ataques por fuerza bruta para poder visualizar el contenido cifrado.

ROOTKITS

Técnica utilizada, principalmente por los cibercriminales, para ocultar evidencias. Es por ello que, a la hora de recopilar evidencias en un análisis forense, se debe utilizar un kit de recopilación y análisis de evidencias con utilidades totalmente independientes a las del sistema con el fin de intentar asegurar la veracidad de los datos. Algunas herramientas como Procl o RootkitRevealer permiten realizar un listado de ficheros utilizando en primer lugar la API del sistema y posteriormente realizar otro listado mediante sus propios métodos implementados. Una vez finalizados ambos listados, los comparan y permiten visualizar la existencia de ficheros ocultos.

Otra técnica utilizada, principalmente por los cibercriminales, para ocultar evidencias son los rootkits. Es por ello que, a la hora de recopilar evidncias en un análisis forense, se debe utilizar un kit de recopilación y análisis de evidencias con utilidades totalmente independientes a las del sistema con el fin de intentar asegurar la veracidad de los datos. Algunas herramientas como Procl o RootkitRevealer permiten realizar un listado de ficheros utilizando en primer lugar la API del sistema y posteriormente realizar otro listado mediante sus propios métodos implementados. Una vez finalizados ambos listados, los comparan y permiten visualizar la existencia e ficheros ocultos.

ELIMINACIÓN DE LAS FUENTES DE LA EVIDENCIA

Esta técnica puede considerarse la más básica, ya que simplemente consiste en evitar dejar huellas para ocultar el rastro y así no ser detectado. Una manera sencilla puede ser si se pretende evitar cualquier tipo de escritura en disco, por ejemplo desactivando los logs del sistema.

Otra técnica utilizada, principalmente por los cibercriminales, para ocultar evidencias son los rootkits. Es por ello que, a la hora de recopilar evidncias en un análisis forense, se debe utilizar un kit de recopilación y análisis de evidencias con utilidades totalmente independientes a las del sistema con el fin de intentar asegurar la veracidad de los datos. Algunas herramientas como Procl o RootkitRevealer permiten realizar un listado de ficheros utilizando en primer lugar la API del sistema y posteriormente realizar otro listado mediante sus propios métodos implementados. Una vez finalizados ambos listados, los comparan y permiten visualizar la existencia e ficheros ocultos.

FALSIFICACIÓN DE LA EVIDENCIA

Este método consiste en la creación de evidencias falsas con el fin de dificultar el trabajo de los investigadores. Algunos de los ejemplos de falsificación de evidencias más habituales son: • Lanzar ataques desde equipos comprometidos, como es el caso de las Botnets. • La utilización de redes comprometidas. • La utilización de cuentas comprometidas de usuarios. • La modificación de metadatos mediante utilidades como ExifTool. • La falsificación de mensajes de programas de mensajería instantánea, como es el caso de WhatsApp o la suplantación mediante el clonado de la tarjeta SIM.

DEFT

DEFT

Digital Evidence & Forensic Toolkit (DEFT) es una distribución basada en Linux, más específicamente en Lubuntu, con un grandísimo listado de herramientas forenses y con una excelente detección del hardware. DEFT es una de las distribuciones de análisis forense que más han avanzado en estos últimos años, no solo han añadido una gran cantidad de herramientas forenses a su lista, sino que se han sabido adaptarse a su entorno y emular las características de otras distribuciones similares CAINE de donde se han inspirados para sacar el DART.

¿PARA QUÉ SIRVE DEFT?

DEFT contiene un conjunto de herramientas útiles en el contexto de Forense Digital; con esta herramienta se puede realizar la adquisición de imágenes forenses, verificación de integridad, análisis de malware, recuperación de información, gestión de discos duros, entre otras.

DEFT 8.2

La primera de ellas es la versión 8.2, la misma se encuentra basada en Lubuntu 12.10, tiene un tamaño de 3.1 GB y dispone de una gran variedad de herramientas para realizar nuestras labores forenses, tanto para la adquisición como para el análisis del mismo. Dentro del menú principal de la distribución, nos encontramos las siguientes categorías de herramientas incluidas:

DEFT 8.2

• Analysis - Herramientas de análisis de ficheros de diferentes tipos. • Antimalware - Búsqueda de rootkits, virus, malware, así como PDFs con código malicioso. • Data recovery - Software para recuperación de ficheros. • Hashing - Scripts que permiten la realización de cálculo de hashes de determinados procesos (SHA1, SHA256, MD5...) • Imaging - Aplicaciones que podemos utilizar para realizar los clonados y adquisición de imágenes de discos duros u otras fuentes.

DEFT 8.2

• Mobile Forensics - Análisis de Blackberry, Android, iPhone, así como información sobre las típicas bases de datos de dispositivos móviles en SQLite utilizadas por las aplicaciones. • Network Forensics - Herramientas para procesamiento de información almacenada en capturas de red. • OSINT - Aplicaciones que facilitan la obtención de información asociada a usuarios y su actividad. • Password recovery - Recuperación de contraseñas de BIOS, ficheros comprimidos, ofimáticos, fuerza bruta, etc. • Reporting tools - Por último, dentro de esta sección encontraremos herramientas que nos facilitarán las tareas de generación de informes y obtención de evidencias que nos servirán para documentar el análisis forense. Captura de pantalla, recopilación de notas, registro de actividad del escritorio, etc.

DEFT ZERO

La segunda es DEFT Zero rc1, la cual es una distro reducida que tiene un tamaño de únicamente 403 MB. Esto es debido a que el fin de la misma es para que realicemos únicamente la adquisición forense para después utilizar un nuestro laboratorio las herramientas que consideremos necesarias.

DEFT ZERO

https://youtu.be/5Qbr4FMryXQ.