tanatología digital y delito informático diana
Anuncio
TANATOLOGÍA DIGITAL Y DELITO INFORMÁTICO
DIANA MARCELA ARDILA CARRILLO
OSCAR FABIÁN LOMBANA JIMÉNEZ
FACULTAD DE INGENIERÍA
PROGRAMA DE INGENIERÍA DE SISTEMAS
BOGOTÁ MAYO 2015
TANATOLOGÍA DIGITAL Y DELITO INFORMÁTICO
DIANA MARCELA ARDILA CARRILLO
OSCAR FABIÁN LOMBANA JIMÉNEZ
Presentado como requisito para la titulación profesional como ingenieros de
sistemas
Proyecto de grado
Director: Ing. Eduardo Triana
FACULTAD DE INGENIERÍA
PROGRAMA DE INGENIERÍA DE SISTEMAS
BOGOTÁ MAYO 2015
Nota de aceptación
Director Programa de Ingeniería
Ing. Juan Fernando Velásquez C
Presidente del jurado
Jurado
Jurado
Bogotá (12,05,2015)
III
DEDICATORIA
Dedico esta tesis en primer lugar a Dios quien me dio la fuerza para no rendirme
nunca.
A mi padre Germán Ardila por su valía y su apoyo durante el transcurso de estos
años en la universidad.
A mis profesores quienes siempre estuvieron dispuestos a compartir su
conocimiento y sus experiencias como Ingenieros pues ellos engrandecen la
expectativa que como futuros ingenieros forjaremos para nuestra vida.
Diana Marcela Ardila
IV
DEDICATORIA
A tu paciencia y comprensión, preferiste sacrificar tu tiempo para que yo pudiera
cumplir con el mío. Por tu bondad y sacrificio me inspiraste a ser mejor para ti,
ahora puedo decir que esta tesis lleva mucho de ti, gracias por estar siempre a mi
lado, Diana.
Oscar Fabián Lombana
V
AGRADECIMIENTOS
El agradecimiento es sin lugar a dudas es para mi padre quien gracias a su
esfuerzo y valentía supo guiarme y estar presente en cada uno de los aspectos
más importantes desarrollados durante esta etapa de mi vida.
Diana Marcela Ardila
VI
AGRADECIMIENTOS
Agradezco a todas las personas que me motivaron y me dieron la mano cuando
sentía que el camino se terminaba, a ustedes por siempre mi agradecimiento.
Oscar Fabián Lombana
VII
TABLA DE CONTENIDO
Pagina
INTRODUCCIÓN .................................................................................................. XV
1.
MARCO OPERACIONAL DE DESARROLLO ................................................ 16
1.1
IDENTIFICACIÓN DEL TRABAJO ........................................................... 16
1.2
PRESENTACIÓN DEL PROBLEMA DE ESTUDIO .................................. 16
1.2.1
Marco descriptivo problémico. ............................................................ 16
1.2.2
Formulación del problema. ................................................................. 16
1.3
2.
PRESENTACIÓN DE OBJETIVOS........................................................... 17
1.3.1
Objetivo general. ................................................................................ 17
1.3.2
Objetivos específicos ......................................................................... 17
1.4
JUSTIFICACIÓN ....................................................................................... 17
1.5
ALCANCES Y LIMITACIONES ................................................................. 18
1.6
RESULTADOS ESPERADOS .................................................................. 18
1.7
MARCO DESCRIPTIVO INVESTIGATIVO ............................................... 19
1.7.1
Tipo de investigación.......................................................................... 19
1.7.2
Marco teórico. .................................................................................... 19
1.7.2.1
Marco conceptual. ........................................................................... 26
1.7.2.2
Marco tecnológico ........................................................................... 30
1.7.2.3
Marco legal ..................................................................................... 31
1.7.3
Metodología ingenieril. ....................................................................... 31
1.7.4
Ambiente de desarrollo tecnológico. .................................................. 33
1.7.5
Cronograma de desarrollo. ................................................................. 34
ESCENARIO DESCRIPTIVO FUNCIONAL .................................................... 37
2.1
CONTEXTUALIZACIÓN DE LA SEGURIDAD INFORMÁTICA ................ 37
2.2
ANÁLISIS DE LA SEGURIDAD DIGITAL ................................................. 42
2.2.1
Evaluación del sistema de tolerancia a fallas. .................................... 42
VIII
3.
2.2.2
Normativa de referentes de seguridad. .............................................. 50
2.2.3
Algoritmos de criptografía. ................................................................. 51
2.2.4
Configurantes operacionales sujetos a ataques ................................. 58
CONSTRUCCIÓN DE LA SOLUCIÓN INGENIERIL ....................................... 61
3.1
LA TANATOLOGIA: VISIÓN LEGISTA. .................................................... 61
3.2
TANATOLOGIA VISIÓN DIGITAL. ........................................................... 65
3.2.1
Puertos especiales. ............................................................................ 80
3.2.2
Condicionadores de referencia .......................................................... 80
3.2.3
Referentes de exploración. ................................................................ 80
3.2.4
Estructura de almacenamiento ........................................................... 86
3.3
CONTEXTUALIZACIÓN OPERACIONAL. ............................................... 90
3.3.1
Tecnologías operacionales de almacenamiento. ............................... 95
3.3.2
Herramientas de soporte hardware. ................................................. 100
3.3.3
Tipología de ataques. ....................................................................... 103
3.4
DELITO INFORMÁTICO EN COLOMBIA. .............................................. 105
3.4.1
3.5
Acciones de seguridad. .................................................................... 110
PRESENCIA ACTIVA DE LA TANATOLOGIA. ...................................... 113
3.5.1
Técnica operacional de la tanatologia digital. ................................... 119
3.5.2
Enfoque procedimental de la tanatologia digital. .............................. 125
4.
CONCLUSIONES .......................................................................................... 127
5.
BIBLIOGRAFÍA ............................................................................................. 128
6.
ANEXOS ....................................................................................................... 130
IX
LISTADO DE FIGURAS
Pagina
Figura 1.Modelo OSI/ISO ....................................................................................... 24
Figura 2.Cronograma proyecto .............................................................................. 36
Figura 3.Ejes lógicos de agresión a la seguridad................................................... 43
Figura 4.Referentes generacionales de vulnerabilidad .......................................... 46
Figura 5.Tendencias mundiales en materia de correo no deseado. ...................... 47
Figura 6.Estructura de distribución triangular ........................................................ 50
Figura 7.Estructura algoritmo de cifrado en bloque ............................................... 52
Figura 8.Resultados de algoritmo simple de criptografía ....................................... 53
Figura 9.Operatividad ASON ................................................................................. 55
Figura 10.Predicción índice de ataques (
+1) ............................................... 60
Figura 11.Agentes de acción y descomposición .................................................... 66
Figura 12.Diagrama de estado proceso tanatológico............................................. 67
Figura 13.Marco descriptivo de la seguridad digital ............................................... 68
Figura 14.Resultado ejecución DIR/S/N ................................................................ 70
Figura 15.Bloquear respuesta del ping en Windows .............................................. 71
Figura 16.Comando NET START .......................................................................... 76
Figura 17.Comando TASKLIST/SVC ..................................................................... 77
Figura 18.Comando NET ACCOUNTS .................................................................. 78
Figura 19.Comando NET VIEW ............................................................................. 79
Figura 20.Comando NET START-R....................................................................... 79
Figura 21.Comando%programfiles% ..................................................................... 81
Figura 22.Comando %windir%............................................................................... 82
Figura 23.Comando %Homedrive%....................................................................... 83
Figura 24.Comando %userprofile% ....................................................................... 84
Figura 25.Estructura lógica del disco ..................................................................... 88
Figura 26.Estructura básica de atributos ............................................................... 94
Figura 27.Archivos ocultos ..................................................................................... 94
Figura 28.Archivos habilitados para solo lectura.................................................... 95
Figura 29.Estructura interna luego del borrado ...................................................... 96
Figura 30.Tipos de incidentes CSI ...................................................................... 106
Figura 31.Base tecnológica contrarrestada del delito informático ........................ 107
Figura 32.Comportamiento índice de crecimiento intruso fraude financiero ........ 110
Figura 33.Agentes validadores de respuesta ante ataque causador de delito ..... 112
Figura 34.Enfoque funcional procedimental ......................................................... 115
Figura 35.Set operacional del saber de un tanatólogo digital .............................. 124
X
LISTADO DE TABLAS
Pagina
Tabla 1.Definición de tiempos de trabajo ............................................................... 35
Tabla 2.Comportamiento delito informático en internet 2000-2014...................... 108
Tabla 3.Registro fraude financiero noviembre 2013 a abril 2014 ......................... 109
XI
LISTADO DE ANEXOS
Pagina
ANEXO A Ley 1273 de 2009 .............................................................................. 131
ANEXO B.Informe anual de Cisco ...................................................................... 136
ANEXO C.ISO 27001 .......................................................................................... 137
XII
RESUMEN
La guerra de la información con su eje de la guerra electrónica y el shipping, exige
a la ingeniería de sistemas, el diseño y construcción de soluciones que
minimizando el riesgo o eliminándolo, hagan que la acción del delito informático
sea nula.
La violación de datos personales la interceptación de sistemas teleinformáticos, el
acceso abusivo a un sistema, puede ser corregido con ayuda de la tanatología
digital, que como disciplina ingenieril traslada y clona del entorno forense los
procesos de recuperación e identificación, ya es común que mediante una USB,
se logre hacer que un transistor eleve a 10 voltios la señal operacional de tensión
haciendo que los circuitos y unidades se saturen, o que por radiación VAN ECK,
los equipos fallen, sin contar que con el uso de ondas electromagnéticas los
sistemas teleinformáticos se congelan por las fallas generadas por un ataque de
intrusos, razón por la cual, a la informática forense debe añadírsele como nueva
plataforma la tanatología digital.
La tanatología, permitirá interpretar y solucionar los problemas relacionados con el
craqueo de contraseñas, la denegación de servicios (DOS), los sniffer, las puertas
traseras, el borrado de huellas y el redireccionamiento de puertos, la tanatología
explota y valida la efectividad de los mecanismos de seguridad establecidos por
x.800.
PALABRAS CLAVES: Chipping, Craqueo, DoS, Tanatología, X.800
XIII
ABSTRACT
The information war with its axis of electronic warfare and shipping requires a
systems engineering, design and construction solutions minimizing or eliminating
the risk, make the action of computer crime is zero.
The violation of personal data interception of teleinformatic systems, abusive
access to a system, it can be corrected using the digital thanatology, which as an
engineering discipline moves and cloned coroner environment recovery processes
and identification, and it is common through USB, which is achieved to a transistor
rises to 10 volts operating voltage signal causing the circuits and units are
saturated, or radiation VAN ECK fail equipment, not to mention that with the use of
electromagnetic waves systems teleinformatic They freeze for the failures
generated by an intruder attack, why, a computer forensics should be added as
new digital platform thanatology.
Thanatology allow interpret and solve problems related to cracking passwords,
denial of service (DoS), the sniffer, the rear doors, erasing tracks and port
forwarding, thanatology explodes and validates the effectiveness of the security
mechanisms established by X.800.
KEY WORDS: Chipping, Cracking, DoS, Thanatology, X.800
XIV
INTRODUCCIÓN
El delito informático producto de la acción de los intrusos en la red exigió al
gobierno colombiano mediante promulgación por parte del congreso de la ley 1273
del año 2009, contemplándose el acceso abusivo a un sistema informático, la
obstaculización ilegitima de un sistema informático, el daño informático, el uso de
software malicioso, la interceptación de datos informáticos y la violación de datos
personales, se acrecienta la presencia destructiva de los piratas, hackers y
bucaneros , que explotando las ventajas de la llamada guerra de la información,
ocasionan graves anomalías en la infraestructura computacional, la informática
forense con sus herramientas tecnológicas, presta sus invaluables servicios para
la recuperación de valores informáticos y para la configuración jurídica del delito
informático, pues con sus herramientas especializadas puede realizarse la
verificación SHA256, la copia DCO y HPA y aplicar la ingeniería para duplicación
de discos por clonación y valoración NDS, pero con la guerra electrónica, el
ingeniero de sistemas, debe recurrir a la tanatología digital, para resolver
problemas relacionados con la no funcionalidad del computador, por ejemplo como
capturar los valores serigrafiados asociados con los diodos supresores de
transitorios (TVS), para así analizar las condiciones de los discos y elaborar el
diagnostico operacional dicho diagnóstico, suele realizarse con herramientas como
el CRYSTALDISKINFO o el HIREN’SBOOT o el SIMPLE CHKDSK/BC. La
tanatología determina la carta de especificación con la cual se recupera y analiza
su incidente en este trabajo se presenta en el capítulo 1, la normativa operacional
de desarrollo, que permite contextualizar el problema de estudio, con el capítulo 2,
se define y presenta el marco de sustento teórico del trabajo y en el último capítulo
se desarrolla la ingeniería de la solución, este trabajo es la base para futuras
investigaciones sobre el tema de la seguridad digital, que permitirá a la
universidad libre con su programa de ingeniería de sistemas, liderar la temática
en el entorno de la guerra de la información.
XV
1. MARCO OPERACIONAL DE DESARROLLO
En este capítulo, se presentan y esquematizan de acuerdo a la normatividad
establecida, los referentes que describen el marco de acción sobre el cual se
construye y desarrolla este proyecto, es decir, se estructuran los principios
teóricos que ilustran e informan al lector sobre las características que evidencian
el escenario problémico tratado.
1.1 IDENTIFICACIÓN DEL TRABAJO
Tanatología digital y delito informático
1.2 PRESENTACIÓN DEL PROBLEMA DE ESTUDIO
1.2.1 Marco descriptivo problémico. El creciente incremento del índice de
ataques y amenazas a las infraestructuras computacionales en la
organización moderna y en el aparato gubernamental , ha exigido la
esquematización formal de un conjunto bien definido de técnicas
orientadas a minimizar el riesgo por la presencia de un ataque, y a
valorar el estamento de normalización correspondiente para atender lo
pertinente al delito informático; la seguridad digital se convierte en un
activo de gran valía tanto para la ingeniería como para la alta dirección
de la empresa, hecho que exige para su interpretación la consideración
de los principales esquemas de tanatología digital definidos en el
escenario de la informática forense como disciplina generadora de
procedimientos y técnicas de recuperación de información.
1.2.2 Formulación del problema. ¿Cómo valorar y dimensionar el apropiado
esquema de acción, que proporciona la tanatología digital para estudiar
la fenomenología pertinente al delito informático y para estructurar
escenarios de acción procedimental para aplicación de la informática
forense?
16
1.3 PRESENTACIÓN DE OBJETIVOS
1.3.1 Objetivo general. Construir el referente normativo de especificación y
consulta, que permita a la comunidad académica del programa de
ingeniería de sistemas UniLibre, el interpretar y dimensionar el espacio o
contexto donde se genera
el delito informático por aplicación
procedimental del conjunto de técnicas cobijadas por la tanatología
digital.
1.3.2 Objetivos específicos
Interpretar funcionalmente las diferentes técnicas procedimentales
definidas por la informática forense para contrarrestar los ataques y
amenazas a las infraestructuras computacionales que operan
y
configuran una red.
Evaluar y contextualizar los referentes conceptuales y principios que
enmarcan la tanatología digital, para conocer e instrumentar los métodos
y técnicas de recuperación de información existentes como factores que
se oponen a un ataque o amenaza lanzada directamente o mediante el
uso del denominado software malicioso o dañino.
Valorar e interpretar sistemáticamente, los algoritmos de recuperación de
información ante la presencia de una catástrofe computacional para
catalogar su índice de acción como cualificador de la categoría del delito
informático y así poder establecer la normatividad jurídica asociada con el
problema considerado.
1.4 JUSTIFICACIÓN
La línea electiva de seguridad informática en el programa, requiere de
documentación integra para favorecer el interés de aprendizaje y para lograr la
familiarización de la comunidad académica con los nuevos paradigmas que
definen con confiabilidad y flexibilidad la informática forense como disciplina
orientada a validar con acierto y certidumbre la existencia de un delito
informático.
17
1.5 ALCANCES Y LIMITACIONES
Enmarca este trabajo los aspectos relacionados con el tratamiento
interpretativo de carácter sistémico del conjunto de normas, técnicas y
procedimientos con los que la tanatología digital facilita catalogar un desastre
teleinformático y determina el procedimiento óptimo de recuperación de la
información y la cualificación operacional del dispositivo afectado.
El eje de acción y desarrollo consignado en el presente trabajo, define las
relaciones funcionales proporcionadas por la informática forense para
interpretar el índice de materialización y ponderación del delito informático a la
luz de los procedimientos y funciones de manejo y tratamiento definidas al
interior de la tanatología digital; con el resultado o entregable final, el programa
de ingeniería de sistemas de la universidad libre poseerá un documento
editable que fortalecerá y consolidara la calidad de los estudiantes quienes
cursan esta área de formación electiva.
Como limitante referencial de desarrollo, el trabajo, permitirá que a partir de los
resultados y experiencias evaluadas en el escenario de la informática forense
se determinen y parametricen los núcleos complejos de operación, pero sin la
presentación integral de alguna solución de carácter descriptivo o de carácter
experimental, pues se considera viable que la comunidad académica
interesada en la tanatología digital evalué las arquitecturas y axiomas
requeridas para identificar y tipificar la cobertura del delito informático a la luz
de esta disciplina.
1.6 RESULTADOS ESPERADOS
El desarrollo integral de esta propuesta, permitirá el dimensionar, catalogar y
evaluar con elementos de la cadena de valor del conocimiento, los factores
que se relacionan a continuación.
Soporte descriptivo de las relaciones y funciones de la tanatología digital
como soporte proyectivo de la informática forense en el proceso de
formalización del delito informático según legislación existente en nuestro
país.
Catalogo procedimental del conjunto de técnicas que contempla y
operaciónalizar la tanatología digital para enfrentar con acierto los riesgos y
problemas que generan un desastre tele informático.
18
Vademécum tecnológico que relaciona los algoritmos y técnicas de
especificación utilizadas por la tanatología digital como respuesta a la
presencia del software dañino o a la generación malintencionada de fallas o
de tensiones funcionales de una arquitectura de cómputo.
1.7 MARCO DESCRIPTIVO INVESTIGATIVO
La estructura de definición a nivel investigativo que soporta el desarrollo de
este trabajo por sus principios de referenciación cualitativa , permiten visualizar
la relación que el delito informático mantiene con las técnicas y procedimientos
de la informática forense que considera la jurisprudencia colombiana, hecho
que demanda la observación en primera instancia de la correspondiente ley
(1273), el tratamiento formal de los ejes de acción que involucran la
tanatología digital junto con la especificación y parametrización del conjunto de
técnicas que proporciona la ciencia de la computación para tratar
objetivamente los problemas pertinentes a la seguridad digital, debiéndose por
lo tanto considerar:
1.7.1 Tipo de investigación. La tanatología digital y su relación directa con
el marco conceptual de la informática forense para estudiar y evaluar los
impactos del delito informático, evidencian características formales que
se desarrollan y evalúan en el escenario de la investigación cualitativa;
razón por la cual el constructo o entregable final integrara los
procedimientos, metodologías y funciones definidas por este tipo de
investigación
1.7.2 Marco teórico. Para construir el entregable que sustenta el objetivo
general de este proyecto, es preciso integrar como referente de análisis
y discusión el conjunto de validación teórica que se lista a continuación:
Jurisprudencia legal colombiana
La ley 1273, contempla, como base formal, el cuerpo de acción por
medio de la cual se modifica el Código Penal, se crea un nuevo bien
jurídico tutelado denominado "De la protección de la información y
de los datos" y se preservan integralmente los sistemas que utilicen
las tecnologías de la información y las comunicaciones, entre otras
disposiciones; complementariamente a la luz de dicha ley , el delito
informático surge como nueva entidad que demanda la presencia del
19
juez para contrarrestar el acceso ilícito al patrimonio de terceros a
través de clonación de tarjetas bancarias, vulneración y alteración de
los sistemas de cómputo para recibir servicios y transferencias
electrónicas de fondos mediante manipulación de programas y
afectación de los cajeros automáticos, que se validan jurídicamente,
mediante la consideración de dos facetas importantes, a saber : De
los atentados contra la confidencialidad, la integridad y la
disponibilidad de los datos y de los sistemas informáticos y de los
atentados informáticos y otras infracciones.
Esta ley, contempla en su articulado base, la consideración del
conjunto de circunstancias que generan o motivan los riesgos, daños
y anomalías producidas por el acceso abusivo a un sistema
informático, siendo pertinente listar para su consideración
correspondiente:
ARTÍCULO 1o. Adiciónase el Código Penal con un Título VII
BIS denominado De la Protección de la información y de los
datos, del siguiente tenor:
o CAPITULO I
De los atentados contra la confidencialidad, la integridad
y la disponibilidad de los datos y de los sistemas
informáticos
Artículo 269A: Acceso abusivo a un sistema
informático.
Artículo 269B: Obstaculización ilegítima de sistema
informático o red de telecomunicación
Artículo 269C: Interceptación de datos informáticos
Artículo 269D: Daño Informático.
Artículo 269E: Uso de software malicioso
Artículo 269F: Violación de datos personales
Artículo 269G: Suplantación de sitios web para
capturar datos personales
Artículo 269H: Circunstancias de agravación
punitiva: Las penas imponibles de acuerdo con los
artículos descritos en este título, se aumentarán de
la mitad a las tres cuartas partes si la conducta se
cometiere:
20
Sobre redes o sistemas informáticos o de
comunicaciones estatales u oficiales o del sector
financiero, nacionales o extranjeros.
Por servidor público en ejercicio de sus
funciones.
Aprovechando la confianza depositada por el
poseedor de la información o por quien tuviere un
vínculo contractual con este
Revelando o dando a conocer el contenido de la
información en perjuicio de otro.
Obteniendo provecho para sí o para un tercero.
Con fines terroristas o generando riesgo para la
seguridad o defensa nacional
Utilizando como instrumento a un tercero de
buena fe.
Si quien incurre en estas conductas es el
responsable de la administración, manejo o
control de dicha información, además se le
impondrá hasta por tres años, la pena de
inhabilitación para el ejercicio de profesión
relacionada con sistemas de información
procesada con equipos computacionales.
Artículo 269I: Hurto por medios informáticos y
semejantes
Artículo 269J: Transferencia no consentida de
activos. Si la conducta descrita en los dos incisos
anteriores tuviere una cuantía superior a 200
salarios mínimos legales mensuales, la sanción allí
señalada se incrementará en la mitad.
Adicionalmente, la integración de la tanatología digital, la informática
forense con el delito informático implica necesariamente, el
considerar como referencial de sustento validatorio la ley 679 de
2001, cuyo cuerpo de acción legal contempla la expedición de un
estatuto para prevenir y contrarrestar la explotación, la pornografía y
el turismo sexual con menores, en desarrollo del artículo 44 de la
21
Constitución; cuya base y estructura jurídica fue producto de una
comisión de peritos jurídicos y expertos en redes de comunicación
para contrarrestar los contenidos prejudiciales para menores de
edad, tales contravenciones se contemplan en el contenido del
artículo 7, que trata lo pertinente a las prohibiciones, aludiendo en lo
pertinente que los proveedores o servidores, administradores y
usuarios de redes globales de información no podrán:
o
Alojar en su propio sitio imágenes, textos, documentos o
archivos audiovisuales que impliquen directa o
indirectamente actividades sexuales con menores de
edad.
o
Alojar en su propio sitio material pornográfico, en
especial en modo de imágenes o videos, cuando existan
indicios de que las personas fotografiadas o filmadas son
menores de edad.
o
Alojar en su propio sitio vínculos o links, sobre sitios
telemáticos que contengan o distribuyan material
pornográfico relativo a menores de edad.
Redes de comunicaciones
La red de comunicaciones, se define normalmente como la entidad
computacional validada telemáticamente, que permite interconectar
nodos con independencia geográfica para transmitir o recibir valores
informáticos que fluyen en una transacción1 ;la teleinformática ,
define no solo la configuración física asociada con la red , sino que
estipula los descriptores lógicos que definen el modelo operacional
para el intercambio transaccional, integrando los mecanismos y
políticas de seguridad y valorando los sistemas de confiabilidad
empleados por los niveles de sesión presentación y aplicación.
Se listan a continuación los referentes conceptuales, propios del
escenario de las redes de comunicación de computadores:
1
TOMASI Wayne. Sistemas electrónicos de comunicación.
22
o Modelo OSI / ISO: Conjunto de normativas procedimentales y
reguladoras que definen, supervisan y validan la integridad y
configuración de un sistema orientado al intercambio
transaccional de valores informáticos, su despliegue por niveles,
se visualiza en la figura 1.
o Amenaza: Una posibilidad de violación de la seguridad, que existe
cuando se da una circunstancia, capacidad, acción o evento que
pudiera romper la seguridad y causar perjuicio. Es decir, una
amenaza es un peligro posible que podría explotar una
vulnerabilidad.
o Ataque: Un asalto a la seguridad del sistema derivado de una
amenaza inteligente es decir, un acto inteligente deliberado
(especialmente en el sentido de método o técnica) para eludir
servicios de seguridad y violar la política de seguridad de un
sistema.
o Criptografía: Tradicionalmente se ha definido como el ámbito de
la criptología que se ocupa de las técnicas de cifrado o codificado
destinadas a alterar las representaciones lingüísticas de ciertos
mensajes con el fin de hacerlos ininteligibles a receptores no
autorizados. Estas técnicas se utilizan tanto en el Arte como en la
Ciencia. Por tanto, el único objetivo de la criptografía es conseguir
la confidencialidad de los mensajes. Para ello se diseñaban
sistemas de cifrado y códigos.
o RFC2828:Conjunto normativo para estructurar las políticas y
mecanismos de seguridad, establecidos por participación directa
de las agencias: IAB,IETF,IESG
o SET: (Secure electronic transaction). Protocolo de seguridad y
encriptamiento en el nivel de transporte, que garantiza el flujo
integral de valores informáticos en la red, alejados de ataques o
posibles amenazas.
o X.509: En criptografía, X.509 es un estándar UIT-T para
infraestructuras de claves públicas. X.509 específica, entre otras
23
cosas, formatos estándar para certificados de claves públicas y un
algoritmo de validación de la ruta de certificación.
Figura 1.Modelo OSI/ISO
Fuente: El modelo OSI de ISO
http://tecnologia4elasalle.wikispaces.com/El+Modelo+OSI+de+ISO
24
o X.800: Es una recomendación que describe las características
básicas que deben ser consideradas cuando se quiere conectar
una computadora con otras, ya sea conectarse a Internet o a una
Red de área local, de forma segura.
Informática forense
Los desarrollos de la teleinformática y su masificación en todas las
esferas de la sociedad, ha revolucionado la concepción del juez en
su espacio nominal y ha exigido que él se ocupe de interpretar
funcionalmente el valor de la información, según los expertos en
informática forense: Giovanni Zuccardi y Juan David Gutiérrez,
cuando se realiza un crimen, muchas veces la información queda
almacenada en forma digital, sin embargo, existe un gran problema,
debido a que los computadores guardan la información de tal forma
que no puede ser recolectada o usada como prueba utilizando
medios comunes, se deben utilizar mecanismos diferentes a los
tradicionales, en virtud de lo cual, la informática forense adquiere una
gran importancia dentro del área de la información electrónica, esto
debido al aumento del valor de la información y/o al uso que se le da
a ésta, al desarrollo de nuevos espacios, resaltando su carácter
científico, tiene sus fundamentos en las leyes de la física, de la
electricidad y el magnetismo. Es gracias a fenómenos
electromagnéticos que la información se puede almacenar, leer e
incluso recuperar cuando se creía eliminada.
En este trabajo de grado, se presentara formalmente lo pertinente a:
¿Qué es la Informática Forense? , NFTA (Network Forensic Analysis
Tool), Evidencia Digital, Clasificación de la evidencia digital, Criterios
de admisibilidad y Gestión de la evidencia digital.
Tanatología digital
Siendo la tanatología la base estructural de este proyecto, se hace
necesario en primera instancia conocer el significado de esta ciencia
en el entorno de la medicina forense, la cual la considera como: “La
ciencia que se encarga del estudio del cadáver y de todas las
circunstancias que lo rodean. En el estudio de la muerte humana se
entra de lleno en toda una serie de consideraciones ético –
25
filosóficas”2 ; bajo la visión puramente clínica la tanatología
contempla cuatro grandes fases, estas son:
1.
2.
3.
4.
Diagnóstico de muerte cierta.
Procesos que se dan en el cadáver.
Establecer la causa de la muerte.
Técnicas de estudio del cadáver, principalmente la autopsia
pero sin olvidar las técnicas complementarias.
Nominalmente, la tanatología, proviene de 2 vocablos griegos,
“Tanatos” que significa Muerte, y “Logos” que significa tratado o
estudio. Es la disciplina que estudia el fenómeno de la muerte en los
seres humanos, tratando de resolver las situaciones conflictivas que
suceden en torno a ella, desde distintos ámbitos del saber, como
son la medicina, la psicología, la religión y el derecho
fundamentalmente;3 de la misma forma se podría entonces
considerar la tanatología digital como la disciplina de las ciencias de
la computación, que validando el objetivo fundamental de la
informática forense, permite que el experto analice , determine y
valide funcionalmente la infraestructura computacional e informática
con sus efectos colaterales a fin de producir integralmente el
concepto que facilitara al juez dimensionar la complejidad del delito
informático cometido, para de esta manera promulgar con
efectividad la correspondiente sentencia.
1.7.2.1
Marco conceptual. El logro del objetivo formulado, será el producto
en este trabajo de la consideración, manejo e instrumentación de los
siguientes conceptos, los cuales por su pertinencia se definen
brevemente:
Acceso ilícito: Al que sin autorización conozca o copie
información contenida en sistemas o equipos de informática
protegidos por algún mecanismo de seguridad
2
Tanatologia [online]. Mayo 2014. Disponible en internet.
Variados/Tanatologia/1698596.html
3
http://clubensayos.com/Temas-
MONTERO, Fernando. Tanatología forense [online]. Abril 13 2012 .Disponible en internet
http://es.scribd.com/doc/89244406/TANATOLOGIA-FORENSE
26
Acción legal: Acto jurídico, hecho humano, voluntario o
consiente, y lícito que tiene por fin inmediato establecer entre
las personas relaciones jurídicas, crear, modificar o extinguir
derechos y obligaciones.
Ataque informático: Es un método por el cual un individuo,
mediante un sistema informático, intenta tomar el control,
desestabilizar o dañar otro sistema informático (ordenador,
red privada, etcétera).
Borrado: Es una acción efectuada por un usuario, programa
o por el sistema operativo sobre una o más unidades de
almacenamiento que vacía a uno o más bytes que contienen
información.
Configuración: Es un conjunto de datos que determina el
valor de algunas variables de un programa o de un sistema
operativo, estas opciones generalmente son cargadas en su
inicio y en algunos casos se deberá reiniciar para poder ver
los cambios, ya que el programa no podrá cargarlos mientras
se esté ejecutando, si la configuración aún no ha sido
definida por el usuario.
Delito informático: Los actos dirigidos contra la
confidencialidad, la integridad y la disponibilidad de los
sistemas informáticos, redes y datos informáticos, así como el
abuso de dichos sistemas, redes y datos
Denegación: La denegación, por lo tanto, es una respuesta
negativa a una solicitud o a un pedido.
FAT: Tabla de asignación de archivos, comúnmente conocido
como FAT (del inglés file allocation table), es un sistema de
archivos desarrollado para MS-DOS, así como el sistema de
archivos principal de las ediciones no empresariales de
Microsoft Windows hasta Windows Me.
Es un formato popular para disquetes admitido prácticamente
por todos los sistemas operativos existentes para
computadora personal. Se utiliza como mecanismo de
27
intercambio de datos entre sistemas operativos distintos que
coexisten en la misma computadora, lo que se conoce como
entorno multiarranque. También se utiliza en tarjetas de
memoria y dispositivos similares.
Firma digital: Una firma digital es un mecanismo
criptográfico que permite al receptor de un mensaje firmado
digitalmente determinar la entidad originadora de dicho
mensaje, y confirmar que el mensaje no ha sido alterado
desde que fue firmado por el originador (integridad).
La firma digital se aplica en aquellas áreas donde es
importante poder verificar la autenticidad y la integridad de
ciertos datos, por ejemplo documentos electrónicos o
software, ya que proporciona una herramienta para detectar
la falsificación y la manipulación del contenido.
Hacking: Es la búsqueda permanente de conocimientos en
todo lo relacionado con sistemas informáticos, sus
mecanismos de seguridad, las vulnerabilidades de los
mismos, la forma de aprovechar estas vulnerabilidades y los
mecanismos para protegerse de aquellos que saben hacerlo.
Husmeo: Los piratas informáticos utilizan una técnica
denominada husmear para adquirir información que pueden
utilizar para entrar en sus sistemas. Los programas de
husmeo pueden "acertar a oír" datos importantes no cifrados
que pasen por Internet, tales como ID de usuarios y
contraseñas.
Informática forense: Según el FBI, la informática o
computación forense es la ciencia de adquirir, preservar,
obtener y presentar datos que han sido procesados
electrónicamente y guardados en un medio computacional.
Linux: Sistema operativo que posee un núcleo del mismo
nombre. El código fuente es abierto, por lo tanto, está
disponible para que cualquier persona pueda estudiarlo,
usarlo, modificarlo y redistribuirlo.
28
NFS: El Network File System (Sistema de archivos de red), o
NFS, es un protocolo de nivel de aplicación, según el Modelo
OSI. Es utilizado para sistemas de archivos distribuido en un
entorno de red de computadoras de área local. Posibilita que
distintos sistemas conectados a una misma red accedan a
ficheros remotos como si se tratara de locales.
Privacidad: Es el derecho de mantener de forma reservada o
confidencial los datos de la computadora y los que
intercambia con su red. Actualmente la privacidad se ve
sistemáticamente violada por spyware, cookies, piratas
informáticos, virus, redes inseguras, etc.
Seguridad: La seguridad informática es una disciplina que se
relaciona a diversas técnicas, aplicaciones y dispositivos
encargados de asegurar la integridad y privacidad de la
información de un sistema informático y sus usuarios.
Sistema operacional: Es el programa (o software) más
importante de un ordenador. Para que funcionen los otros
programas, cada ordenador de uso general debe tener un
sistema operativo. Los sistemas operativos realizan tareas
básicas, tales como reconocimiento de la conexión del
teclado, enviar la información a la pantalla, no perder de vista
archivos y directorios en el disco, y controlar los dispositivos
periféricos tales como impresoras, escáner, etc.
Suplantación: La suplantación de identidad en línea, o
phishing es una forma de engañar a los usuarios para que
revelen información personal o financiera mediante un
mensaje de correo electrónico o sitio web fraudulento.
Normalmente, una estafa por suplantación de identidad
empieza con un mensaje de correo electrónico que parece un
comunicado oficial de una fuente de confianza, como un
banco, una compañía de tarjeta de crédito o un comerciante
en línea reconocido. En el mensaje de correo electrónico, se
dirige a los destinatarios a un sitio web fraudulento, donde se
les pide que proporcionen sus datos personales, como un
29
número de cuenta o una contraseña. Después, esta
información se usa para el robo de identidad.
VFAT: (Virtual File Allocation Table) Tabla virtual de
asignación de archivos. Sistema de archivos utilizado en
Windows para Workgroups y Windows 95. Provee acceso de
alta velocidad en Modo Protegido de 32 bits para
manipulación de archivos.
Windows: Familia de sistemas operativos gráficos (GUI) para
computadoras desarrollada por la empresa Microsoft. Su
traducción literal al español es Ventanas, pues su interfaz se
basa en ellas. Microsoft Windows es el sistema operativo más
usado del mundo con un 90% de penetración en el mercado.
1.7.2.2
Marco tecnológico. La infraestructura operacional logística
requerida para el proyecto, se estructura formalmente en la
utilización de un PC que servirá como equipo de prueba, en el que
se validaran los referentes o prototipos configurados para certificar a
nivel de documentación y seguimiento la confiabilidad del resultado
generado, se citan a continuación sus componentes:
Plataforma hardware:
o Procesador: Intel Core i5
o Memoria: 4 GB
o Almacenamiento secundario:500GB
o Impresora: Hp Packard
Plataforma software:
o Sistema operativo: Windows
o Soporte ofimático: Office 2010
o Software libre para autopsias de dispositivos
o Software de control de seguridad
Complementariamente, es necesario emplear un soporte
especializado de herramientas de uso libre que aportaran en la
construcción de los factores diferenciadores del entregable a
liberar, y que se utilizara como soporte piloto para los desarrollos
académicos pertinentes en las líneas de electiva que contemplan y
30
tratan la seguridad informática en el programa de sistemas de la
universidad libre.
Complementariamente, se hace necesario especificar que el
tratamiento operacional que en este trabajo se le da a la tanatología
digital para consolidar el análisis del delito informático , demanda de
la formulación e instrumentación de los principios básicos que el
esquema tecnológico proporciona la informática forense,
debiéndose por obligación el asociar tanto las arquitecturas
hardware existentes para aplicación en la informática forense como
el conjunto de algoritmos y técnicas de recurrencia empleados para
cualificar la acción de un delito sobre una arquitectura
computacional producto de un ataque informático.
1.7.2.3
Marco legal. Este proyecto considera como formalismos de acción
legal, lo referente al marco que contempla los derechos de autor y la
propiedad intelectual, formulados por el magistrado Alfredo Vega
Jaramillo, quien en el año 2010, publico el texto titulado: “MANUAL
DE DERECHO DE AUTOR”4, bajo el auspicio de la DIRECCIÓN
NACIONAL DE DERECHO DE AUTOR DE LA UNIDAD
ADMINISTRATIVA ESPECIAL MINISTERIO DEL INTERIOR Y DE
JUSTICIA; en este compendio se considera lo pertinente
a:Propiedad intelectual, Derecho de autor y propiedad industrial,
derecho de autor y derechos conexos, objeto del derecho de autor,
autores y titulares, los derechos morales, titularidad y ejercicio del
derecho moral y los derechos de reproducción, comunicación
pública, transformación, distribución y seguimiento ; contenido que
para facilitar su lectura e interpretación se dio a conocer , al elaborar
la propuesta correspondiente; en lo concerniente al acervo jurídico
existente, se considera como carta funcional de especificación, el
articulado de la ley 1273, que se presenta en el anexo A.
1.7.3 Metodología ingenieril. El desarrollo de todo proyecto de base
tecnológica, requiere para su sustento procedimental, el considerar los
ejes operacionales que enmarcan ,categorizan y definen tanto los
4
JARAMILLO VEGA, Alfredo. Manual de derecho de autor [online].Bogotá 2010.Disponible en
internet
http://www.derechodeautor.gov.co/documents/10181/331998/Cartilla+derecho+de+autor+%28Alfre
do+Vega%29.pdf/e99b0ea4-5c06-4529-ae7a-152616083d40 Manual de derecho de autor
31
enunciados asociados con las acciones a cumplir como los entregables
a liberar; en el escenario de la informática forense como fuente
referencial en el entorno de los sistemas de conectividad teleinformática,
se precisa validar como sustento primario la exploración de la
plataforma operacional en donde se desarrolla el problema, para luego
considerar sistémicamente las relaciones , principios y fundamentos
asociados con la interpretación esquematización y diseño formal de la
entidad que modifica y genera una solución.
Las fases consideradas como elementos categorizantes del
procedimiento metodológico a seguir, se citan para sus efectos a
continuación:
Fase 0: Exploración y contextualización del escenario
problémico.
Permite estructurar y acopiar los referentes conceptuales y lógicos
que permiten formalizar descriptivamente la acción de la tanatología,
su relación con la informática forense y su visión proyectiva en el
entorno legal del delito informático
Fase 1: Estructuración funcional y convalidación teórica.
Determina el conjunto de operación e integración lógica sobre el cual
se definen los principios de la informática forense como base de
proyección para interpretar el delito informático a partir de las
consideraciones pertinentes a la tanatología digital como referente de
análisis deductivo para encarar con acierto el eje de desarrollo
temático y conceptual sobre el cual se definen los principios que todo
investigador digital forense debe poseer para adelantar con acierto
una operación que conlleva a esclarecer jurídicamente un problema
propio de los ejes de operación de la computación y la
teleinformática.
Fase 2: Construcción del referente sistémico.
Se aglutinan los principios y fundamentos de la tanatología como
disciplina operacional de la informática forense y se determina
procedimentalmente el conjunto de operaciones que deben
desarrollarse para validar la certidumbre de un delito informático y
proceder a construir el entregable cuya integridad jurídica sustentara
32
la promulgación de una sentencia por el juez responsable sobre
quien recae el accionar de la sentencia frente al delito cometido.
Fase3: Diseño y construcción del entregable ingenieril.
Formaliza metódicamente las características e instrumentos de
valoración que deberá tener como sustento la interpretación legal de
las entidades informáticas y computacionales ,sobre las cuales se
referenció o definió la acción del delito informático cometido,
permitiendo elaborar el esquema o sustento descriptivo que
operaciónalizar la tanatología como nuevo enfoque sistémico para
contrarrestar o minimizar el delito informático en toda las
modalidades o disposiciones contempladas por la ley vigente en
Colombia.
1.7.4 Ambiente de desarrollo tecnológico.
La asociación teórica y
axiomática de la tanatología digital como disciplina, compleja en el
umbral de la informática forense, demanda de la especificación
operacional de los siguientes ejes interpretados dentro de las ciencias
de la computación, a saber:
Arquitectura hardware:
o Unidades de almacenamiento características
o Técnicas de grabación de información
o Estructura VFAT
o Atributos de soporte operacional
o Recuperación de información borrada
o Configuración de unidades múltiples
o Mapas de direcciones
o Controladores de dispositivos
o Soporte especializado para recuperación y seguimiento
o Soporte para control de integridad de unidad
Arquitectura software:
o APIIS e interrupciones
o SET operacional para control de dispositivos
o Algoritmos especializados de carácter voraz
Con las anteriores entidades, el experto en informática forense puede
interpretar la tanatología digital como fuente validadora del delito
33
informático, operando los llamados ejes prospectivos de visualización y
operación técnica, que proporciona entre otros los siguientes factores:
Dimensionamiento de la integridad computacional por presencia de
un ataque.
Nivel de daño en la infraestructura de almacenamiento.
Grado de coherencia y transparencia
recuperación y el delito evidenciado.
entre
la
técnica
de
Modelación integral con sustento matemático de la fenomenología
que como pista de seguimiento genera la acción producida en la
arquitectura.
La tanatología digital, integra los formalismos legales con los que se
validan el índice de ocurrencia de un ataque, determinando la fiabilidad
computacional y tecnología de la arquitectura que se convierte en sujeto
activo de la investigación.
1.7.5 Cronograma de desarrollo.
En la figura 2, se presentan las
actividades enmarcadas por la metodología definida, según
parametrización listada seguidamente:
Calendario de ejecución:
o Fecha de inicio:
Julio 01 de 2014
o Fecha culminación: Abril 30 de 2015
Unidad de programación:
El mes
Herramienta de desarrollo:
Office 2010
Asignación de tiempos:
En la tabla 1, se muestran la duración en semanas para cada una de
las fases contempladas, dimensionando el tiempo estimado de
desarrollo y el tiempo complementario o de holgura
34
Tabla 1.Definición de tiempos de trabajo
Actividad
Fase 0: Exploración
Fase 1: Estructuración funcional
Fase 2: Construcción
Fase 3: Diseño
Total proyecto
Tiempo estimado
02
04
03
05
14
Fuente: Aporte realizadores
35
Tiempo de holgura
01
02
02
01
06
Figura 2.Cronograma proyecto
Fecha inicio
Simbología
Tiempo
estimado
Fecha
culminación
Tiempo de
holgura
DD
MM
AAAA
01
DD
07
MM
2014
AAAA
30
04
2015
Control
Calendario
Julio
Agosto
Septiembre
Octubre
Noviembre
Actividad
Exploración
Estructuració
n funcional
Construcción
Diseño
Fuente: Aporte realizadores
36
Diciembre
Enero
Febrero
Marzo
Abril
2. ESCENARIO DESCRIPTIVO FUNCIONAL
Para abordar la plataforma de desarrollo de la tanatología digital y el delito
informático, se hace preciso evaluar en primera instancia el entorno de la
seguridad informática considerando sus diferentes facetas y normativas, que
continuamente formulan las agencias y asociaciones responsables, valorando
sus procedimientos y logística de operación, para de esta manera poder
identificar los núcleos funcionales y gradientes modificadores que definen y
estructuran las políticas y estrategias orientadas a eliminar y a minimizar los
ataques realizados sobre una arquitectura computacional; en segundo lugar, se
debe tratar la fundamentación conceptual operacionalizada por la informática
forense, para entonces preparar el entorno descriptivo de la tanatología digital
a la luz de la acción jurídica para conceptualizar así la potencialidad de los
aportes en el tratamiento del delito informático; cada factor a dilucidar en este
capítulo, facilitara la comprensión de los factores elementales y complejos que
se consideran como base de operación para promulgar el sustento
interpretativo y formular así el entregable del proyecto.
2.1 CONTEXTUALIZACIÓN DE LA SEGURIDAD INFORMÁTICA
En el escenario de la informática y las ciencia de la computación, el termino
seguridad, se define como el atributo operacional que en un sistema
teleinformático, garantiza su integridad y confiabilidad al establecer métricas
que eliminan las eventualidades externas reduciendo el riesgo de tendencia al
desastre [Triana, 2013]; dadas las características de todo sistema
computacional y teleinformático, el termino seguridad engloba o integra los
discriminantes funcionales listados [Shimmin, 2008]:
Autentificación: Servicio de identificación de usuarios.
Autorización: Acceso a los servicios configurados en el sistema de
transmisión y recepción de datos.
Confidencialidad: Ocultamiento de datos y acceso no autorizado.
Integridad: Autenticidad de mensajes y transacciones.
37
No repudio: Prueba de la existencia de un emisor no especificado en el
dialogo transaccional.
Específicamente, referenciar el término seguridad, implica la consideración
de la conocida trilogía: ataque, mecanismo y servicio, que son considerados
por la recomendación X.8005, formulada por la ITU6 para definir la
arquitectura
de
seguridad
OSI,
validadas
por
el
referente
7
RFC2828 [Stallings,2010].
Los servicios de seguridad, discriminan el llamado pentágono operacional
[CNSRI, 2010], en cuyos nodos se catalogan:
Normativa de autenticación
o Origen de los datos
o Entidad origen y destino
Control de acceso
Confidencialidad de datos
o Confidencialidad de conexión
o Nivel de confidencialidad no orientada a conexión
o Confidencialidad para tratamiento de campos seleccionados
o Confidencialidad en el flujo de trafico
Integridad de datos
o Conexión con recuperación
o Conexión sin recuperación
o Conexión seleccionada o segmentada
o Integridad no orientada
5
Es una recomendación que describe las características básicas que deben ser consideradas
cuando se quiere conectar una computadora con otras, ya sea conectarse a Internet o a una Red
de área local, de forma segura. http://es.wikipedia.org/wiki/X.800
6
Es un organismo especializado de las Naciones Unidas (ONU) que se encarga de cuestiones que
preocupan a las tecnologías de información y comunicación . [1]
La UIT coordina el uso global compartido del espectro radioeléctrico , promueve la cooperación
internacional en la asignación de órbitas de satélite , trabaja para mejorar la infraestructura de
telecomunicaciones en el mundo.
http://en.wikipedia.org/wiki/International_Telecommunication_Union
7
Internet security glossary https://www.ietf.org/rfc/rfc2828.txt
38
No repudio
o En origen
o En destino
X.800 Establece e integra lógicamente los mecanismos de seguridad, que
habilitan la construcción de núcleos o ejes que estructuran y definen las
estrategias de control que reducen los riesgos generados por un ataque
[Menezes, 2007], entre los cuales se validan: Cifrado8(Transformación
inteligible de la información),Firma digital9( Entidad que luego de la
transformación de la información facilita la verificación de la fuente
emisora),Control de acceso( Asignación que dota al usuario de una
especificad de acceso),Integridad de datos(Atributo que permite la
validación de consistencia),Intercambio de autenticaciones(Métrica para
comprobar la posesión del usuario sobre un referente definido con
integridad),Relleno de tráfico10(Inserción de bits para eliminar la posibilidad
del análisis de tráfico por un intruso),Control de enrutamiento( Proceso que
permite seleccionar adecuadamente la ruta confiable para el intercambio de
información),Notarización(Registro externo de la transacción que permite
validar la confiabilidad.),Etiqueta de seguridad(Marca que define y
parametriza el mecanismo de seguridad).
Para ejemplificar el control de acceso se puede considerar este como el
definidor de atributos para operar un recurso o como el pasaporte o clave
que habilita al usuario para navegar sobre la plataforma, para tratar el
primer caso se presenta el siguiente programa C++, que cataloga los
permisos de lectura y escritura sobre un archivo, haciendo que este se
pueda leer por múltiples usuarios mas no ser modificado, o a su vez permitir
que este se amplié y se lea concurrentemente
8
Un método que permite aumentar la seguridad de un mensaje o de un archivo mediante la
codificación del contenido, de manera que sólo pueda leerlo la persona que cuente con la clave de
cifrado adecuada para descodificarlo. Letras que representan notas o acordes.
http://seguridadinformatica-itsncg.blogspot.com/2015/03/cifrado-un-metodo-que-permiteaumentar.html
9
Es un mecanismo criptográfico que permite al receptor de un mensaje firmado digitalmente
determinar la entidad originadora de dicho mensaje , y confirmar que el mensaje no ha sido
alterado desde que fue firmado por el originador http://es.wikipedia.org/wiki/Firma_digital
10
Es un tipo de esquema de rellenopara tráfico de red cuya estrategia consiste en generar tráfico
artificial de información, con contenido irrelevante, que se intercambian las distintas entidades.
http://es.wikipedia.org/wiki/Tr%C3%A1fico_de_relleno
39
Programa ejemplificador de control de acceso a un recurso
#include <iostream>
#include <stdio.h>
#include <conio.h>
#include <io.h>
#include <dos.h>
#include <errno.h>
#include <sys/types.h>
#include <sys/stat.h>
main()
{ inti;
system("cls");
printf("\n\n\t************************************************");
printf("\n\t*
*");
printf("\n\t* EJEMPLO DE ASIGNACIÓN DE CONTROL
printf("\n\t*
*");
printf("\n\t*
DIANA ARDILA Y OSCAR LOMBANA
printf("\n\t*
*");
printf("\n\t*
UNIVERSIDAD LIBRE
NOV 19 2014
printf("\n\t*
*");
printf("\n\t**************************************************");
getch();
system("cls");
*");
*");
*");
printf("\n\n\tSeleccione el atributo que quiere poner:\n 1.Lectura \n 2.Escritura \n
3.Lectura y escritura.\n");
scanf("%i",&i);
if(i=1){
if (_chmod ("mydata.docx",_S_IREAD) == -1) {
if (errno == ENOENT)
printf("no se pudo encontrar el archivo\n");
}
getchar ();
return(0);
}
else if(i=2){
40
if (_chmod ("mydata.docx",_S_IWRITE) == -1) {
if (errno == ENOENT)
printf("No se pudo encontrar el archivo\n");
else
printf("No se pudo cambiar el atributo\n");
}
else
printf("Atributo cambio a escritura\n");
getchar();
} else if (i=3){
if (_chmod ("mydata.docx",_S_IREAD | _S_IWRITE) == -1) {
if (errno == ENOENT)
printf("No se pudo cambiar el archivo\n");
else
printf("No se pudo cambiar el atributo\n");
}
else
printf("Atributo cambiado a escritura y lectura.\n");
getchar();
}
else
printf("No escogió una opción disponible");
}
Tanto los servicios como los mecanismos de seguridad, se enmarcan en
los niveles TS11(Technical Specification), y AS12(Applicability Statement),
según especificación reguladora, generadas por las agencias IAB
(Internet Architecture Board), IETF (Internet Engineering Task Force) y la
IESG (Internet Engineering Steering Group).
11
Una especificación técnica ISO (ISO/IECTS) (TechnicalSpecification) representa el acuerdo entre
los miembros del comité técnico y su publicación se acepta si se aprueba por 2/3 de los miembros
del comité técnico que emiten voto.https://www.iso.org/obp/ui/#iso:std:iso-iec:ts:17023:ed-1:v1:es
12
Especifica cómo y en qué circunstancias una o más especificaciones técnicas pueden aplicarse
para posibilitar determinada capacidad de internet. Un informe de aplicabilidad identifica a una o
más especificaciones técnicas que son relevantes para la capacidad y puede especificar valores o
rangos para determinados parámetros asociados con un TS o subgrupos funcionales de un TS
relevantes para la capacidad https://books.google.com/books?isbn=8420540021
41
La importancia de la seguridad computacional, valida técnicamente cada
esquema señalado por la figura 3, que ilustra los principales generadores
de la agresión a la seguridad [Simmons, 2002].
2.2 ANÁLISIS DE LA SEGURIDAD DIGITAL
La consideración funcional del proceso de análisis de seguridad digital,
conlleva en primera instancia la consideración formal del tratamiento de la
tolerancia a fallas, que evidencia toda arquitectura computacional , para luego
entonces definir a nivel estructural los referentes operativos implementados en
la actualidad en los sistemas convencionales, finalmente presentándose las
estructuras normativas que al afectar una configuración computacional ,
definen la plataforma sobre la cual se presenta el delito informático.
2.2.1 Evaluación del sistema de tolerancia a fallas. Las arquitecturas de
computo, que soporta el intercambio transaccional, se caracteriza
porque lógicamente, habilitan como elemento formal operacional la
denominada función de tolerancia [Stallings,2010], función que integra
como referentes la disponibilidad, confiabilidad, seguridad y
mantenimiento; normalmente el ataque o saboteo puede ser traducido
como reflejo o reproducción de una falla, entendiendo por falla el no
cumplimiento del conjunto de funciones programadas en el sistema ,
bien sea a nivel transitorio intermitente o permanente; los desarrollos
registrados en la actualidad, producto de los ataques y amenazas que
se cristalizan en el delito informático, considerando como sujeto activo la
arquitectura
computacional
permiten
catalogar
las
fallas
computacionales en los 5 escenarios siguientes:
Congelación.
Omisión en la recepción y trasmisión.
Distorsión del oscilador (Tiempo).
Falencia en la respuesta por omisión de valor o no realización de
transición.
Externa o arbitraria.
42
Figura 3.Ejes lógicos de agresión a la seguridad
Modificación
Flujo normal
DTE
DTE
A
B
Intercepción
RX
TX
DTE
DTE
A
B
TX
DTE
DTE
A
B
DRC
C
RX
RX/TX
Interrupción
DTE
DTE
A
TX
Fabricación
DRC
B
RX
RX
TX
Intruso
C
Almacenamiento
DTE
DTE
A
B
DRC
TX
C
RX/TX
Fuente: Aporte realizadores
43
RX
El conjunto descriptivo anterior puede resumirse en los siguientes
estados de dialogo computacional, a saber: cliente no localiza servidor,
solicitud del cliente se pierde, el servidor se congela, la respuesta del
servidor se pierde, el cliente envía solicitud pero se congela; dichos
estados ,son modificados mediante la acción del denominado software
dañino o son alterados mediante el condicionamiento de operadores
inmersos en rutinas que se incorpora mediante la catalogación
especifica de actividades, por ejemplo cuando el sistema Windows hace
uso del programador de tareas bien sea para reproducir mensajes o
ejecutar programas destructivos, procedimiento que se explica a
continuación:
1. Se explora el núcleo del sistema Windows, mediante el comando:
cd\windows\system32.
2. Se listan los archivos con extensión .msc.
3. Se selecciona en este listado la herramienta compmgmt.msc y se
ejecuta, seleccionando el programador de tareas creando una
tarea, especificando su nombre y describiendo su acción.
4. Se define el desencadenador de tarea especificando su
frecuencia: Diariamente, semanalmente, mensualmente, una vez,
al iniciar el equipo, al iniciar sesión y cuando se registre un
evento específico para el caso se define el parámetro una vez.
5. Se procede a programar la hora para ejecutar esa tarea y se
define la acción deseada, bien sea para reproducir un mensaje o
ejecutar un programa.
Cuando a esta herramienta, se le programa la ejecución de un código
malintencionado por ejemplo el que borra todos los archivos y luego
reinicia el sistema, se obtienen resultados catastróficos, pues solo se
necesita emplear el siguiente código.
#include <iostream>
#include <stdio.h>
#include <stdlib.h>
#include <conio.h>
#include <windows.h>
main ()
{
44
system ("cls");
system ("attrib -r *.*");
system ("del *.*");
system ("shutdown -s -f -t 20");
Return(0);
}
La seguridad digital ,con el fin de evitar esta tipología de problemas se ha
ocupado tal como lo registra el informe anual de seguridad de CISCO, el
cual se presenta como anexo B de trabajar lo pertinente a las temáticas
relacionadas a continuación: estado de la vulnerabilidad de la seguridad,
amenazas evolutivas, correo no deseado y operaciones CSI (Cisco
Security Intelligence), dicho informe contempla como los ataques y
amenazas producidos, son el producto de la acción indeseada de los
empleados o usuarios, cuya escala porcentual se registra en la figura 4,
los índices representados son :
Consulta red social 20%.
Consulta video en línea 22%.
Operación con motores de búsqueda 36%.
Interacción con anuncios 13%.
Accesos múltiples 9%.
De la misma forma se observa en dicho informe como la presencia de
correo no deseado, se convierte en elemento generador de alto riesgo,
cuyo índice de acción participativa en la congelación o generación de
fallas en arquitecturas computacionales es bastante elevado (ver figura
5).
La organización moderna, para prevenir el crecimiento del delito
informático establece estrategias
de seguridad ,cuyo equivalente
funcional se traduce en acción de metas, resultados, procesos y
herramientas, como efecto complementario de la definición de
requerimientos, la estructuración de políticas, la formalización de
arquitecturas de seguridad, la estructuración de planes de integridad
[Brage, 2012],con ello se busca que toda arquitectura telemática
evidencie eficiencia, escalabilidad, control pleno de acceso privacidad
45
total y alta confiabilidad con el fin de detener los posibles intrusos que
husmean en la red.
Figura 4.Referentes generacionales de vulnerabilidad
Consulta red social
9%
13%
20%
Consulta video en linea
22%
36%
Operación con motores
de busqueda
Interacción con
anuncios
Accesos multiples
Fuente: Aporte realizadores
La experiencia en la implementación de sistemas de seguridad con
entidad contrarrestora de la acción del delito informático y base
operacional de la tanatología digital y demás funciones de la informática
forense, se traduce en la operación y alcance del siguiente conjunto de
entidades [Arbeláez, 2008]:
Cifrado simétrico.
Función de Hash.
Firma digital.
Servicio de autenticación X.509.
Seguridad PGP13.
13
Es el acrónimo de Pretty Good Privacy (Privacidad Bastante Buena), un programa desarrollado
por Phil Zimmermann que sirve para cifrar contenido y acceder a él mediante una clave pública y
firmar documentos digitalmente para autentificarlos.http://hipertextual.com/archivo/2013/08/que-espgp-y-para-que-sirve/
46
Figura 5.Tendencias mundiales en materia de correo no deseado.
Fuente: Informe anual de seguridad de CISCO
47
Encapsulamiento carga útil.
Seguridad web (SSL/TLS/SET).
Seguridad gestión SNMP14.
El análisis estructural, que ha realizado para especificar la presencia
activa de la fenomenología de los ataques a la arquitectura
teleinformática realizado por la CSI ( Computer Security Institute), ha
cualificado como elementos generadores de alto riesgo las acciones
humanas(55%),los procesos de congelación de la arquitectura (20%) y
los errores por modificación de configuración (25%); adicionalmente se
han hecho esfuerzos para catalogar procesos de defensa tal como los
define el modelo ONION, regulando los segmentos de acción física, de
control y monitoreo de auditoría, autenticación, control de acceso y
segmentación, pretendiendo entonces establecer mecanismos cuya
cobertura integral, se cualifica al definir los parámetros relacionados con
la administración de seguridad , la recuperación de fallas y la
reconfiguración automática de unidades para proteger tanto el equipo de
cómputo, como los equipos de comunicaciones de enrutamiento y de
almacenamiento, cuya fundamentación se explicita por la implementación
directa del teorema de Bayes; que para los efectos de documentación se
expresa mediante la formulación del siguiente ejemplo:
Una arquitectura teleinformática posee tres servidores S1, S2, S3, el
índice de participación en los procesos de interacción en la red es
respectivamente de 30%, 45%, 25%, el índice de ataques generados por
hackers cualifica para cada servidor estos valores: 5% ,6% y 4%, la
pregunta a resolver será cual es la probabilidad de que un ataque
congele al servidor 1, respuesta que se obtiene fácilmente mediante la
aplicación
de
la
teoría
de
probabilidades,
a
saber:
14
Es un protocolo de la capa de aplicación que facilita el intercambio de información de
administración entre dispositivos de red. Los dispositivos que normalmente soportan SNMP
incluyen routers, switches, servidores, estaciones de trabajo, impresoras, bastidores de módem y
muchos más. Permite a los administradores supervisar el funcionamiento de la red, buscar y
resolver
sus
problemas,
y
planear
su
crecimiento.http://es.wikipedia.org/wiki/Simple_Network_Management_Protocol
48
Otra manera utilizada frecuentemente para analizar la problemática
generada por las amenazas y ataques a una arquitectura teleinformática
es la del análisis de la distribución histórica de fallas detectadas
ajustando el conjunto de información a una distribución triangular cuyo
comportamiento se explica con la figura 6.
Por ejemplo si un servidor distribuye sus fallas en el intervalo 15-55,
catalogados por semana de trabajo, la estimación de número promedio
se realizaría de esta manera:
1. Se genera una base randómica, la cual produce los valores de
análisis.
2. Se selecciona el conjunto que opera sobre X1 y X2 y se reemplaza en
la correspondiente formula.
49
3. Se encuentra el promedio de estos valores siendo este el indicador de
fallas deseado.
Figura 6.Estructura de distribución triangular
Fuente: Aporte realizadores
En la práctica la generación de los aleatorios se realiza mediante el
siguiente programa, codificado en C++.
#include <iostream>
#include <conio.h>
#include <stdio.h>
#include <stdlib.h>
#include <windows.h>
#include <time.h>
main ()
{
system ("cls");
int k ;
srand(time(NULL));
for (k=1;k<=100;k++)
printf ("%d\t",1+rand()%999);
system ("pause");
return
}
2.2.2 Normativa de referentes de seguridad. La normativa operacional que
permite estructurar un referente de seguridad, se define como el
conjunto de operaciones y funciones que parametrizan un proceso
50
orientado a garantizar la confiabilidad de un sistema computacional
durante el intercambio transaccional; dentro de estas normativas se
consideran:
Algoritmos de criptografía.
Estructura lógica de operatividad ASON.
Configuración de procesos de gestión.
Patronato de seguridad óptica.
Algoritmo de encadenamiento y asignación.
Discriminadores de gestión óptico.
Para entender sus principales
continuación cada uno de ellos:
características
se
describen
a
2.2.3 Algoritmos de criptografía. El algoritmo de criptografía, es la entidad
lógica cuya integración paramétrica permite transformar un dato al
validar el equivalente del nuevo código representativo para enviarlo al
receptor , asegurando que la fase de cobertura que impide la violación
de la información es óptima gracias a su alto nivel de confiabilidad; la
criptografía permite implementar algoritmos simples o algoritmos
complejos tales como los de cifrado en bloque con su esquema
representativo DES15, como ejemplificación de los algoritmos simples se
presenta un programa C que acepta una cadena de caracteres y
utilizando como clave el valor 15 lo transforma a nivel criptográfico, y
con la ayuda de la figura 7 se ilustra la estructura del algoritmo de
cifrado DES, el cual opera claves con longitudes de 64 y 128 bits para
elaborar la unidad con la que se criptografía y protege la información
durante un intercambio transaccional.
15
Data Encryption Standard, estándar de cifrado de datos) es un algoritmo desarrollado
originalmente por IBM a requerimiento del NBS (National Bureau of Standards, Oficina Nacional de
Estandarización, en la actualidad denominado NIST, National Institute of Standards and
Technology, Instituto Nacional de Estandarización y Tecnología) deEE.UU. y posteriormente
modificado y adoptado por el gobierno de EE.UU. En 1977 como estándar de cifrado de todas las
informaciones sensibles noclasificadas. http://www.tierradelazaro.com/public/libros/des.pdf
51
Figura 7.Estructura algoritmo de cifrado en bloque
Fuente:
Simulación
del
estándar
de
cifrado
avanzado
para
VOIPhttp://sg.com.mx/revista/simulaci%C3%B3n-del-est%C3%A1ndar-cifradoavanzado-para-voip
#include <iostream>
#include <conio.h>
#include <stdio.h>
#include <stdlib.h>
#include <windows.h>
#include <string.h>
main ()
{
char texto[80],salida[80];
inti;
system("cls");
for(i=1;i<7;i++)
printf ("\n");
printf ("\t\tDigite la cadena a criptografiar\n");
printf("\t\t\t");
gets(texto);
52
for(i=0;i<strlen(texto);i++)
salida[i]=texto[i]^15;
printf("\n\t Cadena original= %s\n",texto);
printf("\n\t Cadena criptografiada= %s\n",salida);
getch();
return(0);
}
Por ejemplo, si se digita la cadena: Universidad Libre 2015, al
ejecutarse el programa se obtendrá como salida la cadena visualizada
en la figura 8.
La criptografía como técnica es independiente del ambiente operacional
de trabajo, pues su efectividad esta dimensionada de acuerdo con la
innovación y nivel de complejidad que se estructura con el algoritmo
utilizado [Deitel, 2008], por ejemplo cuando se emplea el algoritmo DES
y de forma paralela el AES16, se observa formalmente que la diferencia
no es de tipo procedimental sino que radica en el tamaño de clave
utilizada a nivel de 64, 128, 192 o 256 bits.
Figura 8.Resultados de algoritmo simple de criptografía
Fuente: Aporte realizadores
Como ejemplo complementario de un referente operacional de
seguridad se tiene el ASON y el MPLS, que es un mecanismo que en
las redes de telecomunicaciones de alto rendimiento trasmite los datos
16
También conocido como Rijndael (pronunciado "Rain Doll" en inglés), es un esquema de cifrado
por bloques adoptado como un estándar de cifrado por el gobierno de los Estados
Unidos.http://es.wikipedia.org/wiki/Advanced_Encryption_Standard
53
de un nodo a otro empleando etiquetas cortas en lugar de direcciones
largas, su estructura convencional esta visualizada en la interacción de
los tres componentes formales: control supervisión y señalización,
hecho que se aprecia al visualizar la figura 9.
La normatividad de gestión de la seguridad en cualquier sistema
teleinformático, el cual por su funcionalidad está expuesto a constantes
ataques por los enemigos de la red, está enmarcada por procesos
integrales de gestión los cuales se citan a continuación:
Gestión de infraestructura
o Localización de amplificadores ópticos
o Valoración de longitudes de onda
o Dimensionamiento del máximo número de longitudes de onda
o Localización y marcado de pos amplificadores
Gestión de configuración básica
o Amplificación modular
o Mantenimiento de canales
o Captura y suma de nuevas longitudes de onda
Gestión de recursos
o Inventario de tarjetas por longitud de onda configurada
o Backup mediante laser sintonizable
Gestión de adaptación de señales
o Conversión de señales
o Alienación de overlay
o Control de acuerdos entre clientes de red (SLA: Service Level
Agreements).
Con esta normatividad, la seguridad implementada por el grupo de
ingenieros especialistas, está orientada a desarrollarse en los
siguientes esquemas [Capmany, 2008]:
Fallas motivadas por el usuario
Separación o cortes de fibras instaladas
54
Figura 9.Operatividad ASON
ASON
Redes IP
Redes SDH
Redes ATM
Caminos
ópticos tipo
soft
Caminos
ópticos
permanentes
Caminos
ópticos
conmutados
Redes peer
UNI
NNI
Redes overlay
Capa óptica
Capa cliente
55
Fuente: Aporte realizadores
Conexiones en caminos de trabajo y de protección
Operación de conmutadores: PS (Path Switching), SS (Spand
Switching).
En estos esquemas, convencionalmente la operación de seguridad parte
del manejo transaccional de los mecanismos de protección de la capa
óptica: OCH (Optical Channel) y OTS (Optical Transmission), con sus
variantes OMS1+1, ANS-DP RING, OMS-SPRING, OCH 1+1,
OCHMESH, OCHSPRING; de manera tal que su formalismo y
operatividad de control a nivel de gestión se presenta de acuerdo con su
categorización por nivel así [Stalling, 2010]:
Gestión de fallas
o Corrección
o Alineamiento
o Detección
Configuración
o Gestión de equipos
o Gestión de adaptación
Contabilidad operacional (ACCOUNT)
o CDR17(Call Detail Report)
Presentación
o Supervisión
o Parametrización de estados especiales
17
El registro detallado de llamadas (CDR) registra la información de uso y diagnóstico sobre
actividades punto a punto, como la mensajería instantánea, las llamadas de voz sobre IP (VoIP), el
uso compartido de aplicaciones, la transferencia de archivos y las reuniones. Los datos de uso
pueden servir para calcular el rendimiento de la inversión y los datos de diagnóstico se pueden
emplear para solucionar problemas de reuniones y actividades punto a punto.
https://technet.microsoft.com/es-es/library/jj688079%28v=ocs.15%29.aspx
56
Seguridad convencional
o Nivel de acceso
o Disponibilidad de recursos
o Confidencialidad
o Autentificación
o SLA(Service Level Aggriments)
El análisis formal de la seguridad está directamente relacionado con los
procesos de encadenamiento y asignación gracias a la presencia de los
ensambladores multiplexores y regeneradores con los que se
manipulan los atributos y propiedades asociadas con las capas de
medios físicos, capa de multiplexación, capa de circuitos , capa de
transporte , capa de proyecto y capa de medios.
Complementariamente, la implementación y el análisis de procesos de
seguridad, en el entorno de la teleinformática, está valorado mediante el
conjunto siguiente de referentes que se listan para los efectos
correspondientes [Stallings, 2010]:
X9.17: Gestión de claves a nivel financiero.
RFC1321: Algoritmo MD518.
RFC1636: Arquitectura intranet.
RFC2049: Criterios para MIME.
RFC2246: Protocolo TLS.
RFC2571: Gestión SMNP.
RCF3174: Algoritmos HASH.
X.509: Clave pública y certificaciones.
18
Es
un
algoritmo
de
reducción
usado.http://es.wikipedia.org/wiki/MD5
criptográfico
57
de
128
bits
ampliamente
X.800: Sistemas abiertos.
o Cifrado
o Firma digital
o Control de acceso
o Integración de datos
o Relleno de trafico
o Etiquetas
o Notarización
o Detectores de acción
o Detectores con configuración intensa
o Detectores de software dañino
o Trampas
o Bombas
o Virus
o Gusanos
FIPS 46-3: Cifrado DES.
FIPS 180: HASH segura.
SP 800-38: Cifrado en bloque
La interpretación global de los contenidos anteriormente citados sumaria
y registra lo pertinente a los esquemas funcionales de implementación
de seguridad, no obstante sopena de contar con soportes de alta
confiabilidad los ataques generadores del delito informático presuponen
la existencia continua de ataques generadores en gran escala del
mismo, lo cual justifica los desarrollos de la informática forense y el
tratamiento alusivo a la tanatología digital como núcleo formal del
presente trabajo.
2.2.4 Configurantes operacionales sujetos a ataques.
La continua
multiplicación de ataques en las redes de cómputo, permiten establecer
como unidad de control y proyección a nivel estadístico una parábola de
mínimos cuadrados, cuya ecuación es:
58
Con la cual para efectos de proyección y estimación, se generan las
siguientes ecuaciones:
El comportamiento matemático formal presupone que el ajuste asociado
con los ataques que día a día se producen sobre arquitecturas
operacionales crece de una forma progresiva, por ejemplo si
históricamente se tienen estos índices de ataques a una arquitectura
computacional financiera: 2,5,10,17y 26, se puede entonces observar
que experimentalmente para el octavo día, el número de ataques
esperado será de 65, gráficamente, el crecimiento de los ataques
asociados con la información dada ,para un periodo de 15 días se
visualiza en la figura 10.
Información proporcionada por los regentes de la seguridad informática
especializada, ha permitido generar el siguiente esquema de
susceptibilidad
para
ataques
informáticos,
entendiéndose
susceptibilidad como el núcleo de acción en el que se verifica
constantemente un ataque, a saber:
Entidades financieras.
Equipos o unidades militares de alto desarrollo tecnológico.
Empresas industriales especializadas (robo de patentes).
Fabricantes industriales (robo de prototipos y de información).
Empresas gestoras y recopiladoras de datos financieros.
Instituciones gubernamentales.
59
Instituciones universitarias con énfasis en investigación.
Empresas convencionales.
Centros de educación convencional.
Escenarios de acción personal.
Figura 10.Predicción índice de ataques (
+1)
Predicción índice de ataques
250
226
200
197
170
150
145
122
Ataques
101
100
82
65
50
50
37
26
1
10
5
2
0
2
17
3
4
5
6
7
8
9
Fuente: Aporte realizadores
60
10
11
12
13
14
15
3. CONSTRUCCIÓN DE LA SOLUCIÓN INGENIERIL
Se aborda en este capítulo, lo pertinente a la estructura formal de la tanatología
digital, valorándose la naturaleza del delito informático para asociar y relacionar la
conformación del llamado vector de ataque para proyectar la aplicación funcional
de la teoría expuesta.
3.1 LA TANATOLOGÍA: VISIÓN LEGISTA.
La lectura de textos forenses, permite definirla como la ciencia que se encarga
del estudio del cadáver y de todas las circunstancias que lo rodean [Magaña,
2008], estructuralmente la tanatología forense, conlleva la interpretación de
estos cuatro factores a saber:
Diagnóstico de la muerte.
Proceso que se dan en el cadáver.
Establecimiento de causa o causas que la generan.
Técnicas de estudio.
Entre las cuales, a la luz de la medición legal y a la interpretación de la
jurisprudencia, se tiene que valorar el conjunto siguiente de entidades de
análisis, a saber:
Signos vitales19.
Fenómenos cadavéricos20.
o Enfriamiento21
19
Son medidas de varias características fisiológicas humanas, generalmente tomadas por
profesionales
de
salud,
para
valorar
las
funciones
corporales
más
básicas.http://es.wikipedia.org/wiki/Signos_vitales
20
Se designan el conjunto de cambios, modificaciones o alteraciones que acontecen en un
cadáver. Una vez extintos los procesos bioquímicosvitales, éste sufre pasivamente la influencia de
los fenómenos ambientales.http://es.wikipedia.org/wiki/Fen%C3%B3meno_cadav%C3%A9rico
21
Este fenómeno ocurre de manera gradual, disminuyendo la temperatura de modo progresivo
hasta
que
se
iguala
con
la
temperatura
del
medio
ambiente.
http://www.colpos.mx/entomologiaforense/signos_de_muerte.htm
61
o Deshidratación22
o Hipostasias23
o Rigidez cadavérica24
Tipología de muerte
o Violenta
o Natural
o Sospechosa de criminalidad
Las técnicas de estudio del cadáver, permiten valorar con efectividad, la
fenomenología o causalidad que produjo el problema generador de la muerte,
siendo la más utilizada la autopsia25 que implica el examen con los propios
ojos, distinguiéndose dos clase a saber:
Autopsia Anatomo-Patológica26.
Autopsia Médico-Legal27.
El procedimiento que conlleva la autopsia, identifica y diferencia:
Examen del lugar.
22
Se debe a la pérdida de agua del cuerpo por evaporación, sus principales manifestaciones se
observan en el ojo. http://www.colpos.mx/entomologiaforense/signos_de_muerte.htm
23
Formación de un depósito especialmente de sangre en un punto declive por deficiencia de la
circulación. http://www.iqb.es/diccio/h/hi4.htm
24
Es el endurecimiento y retracción del sistema muscular. Estado de dureza, de retracción y de
tiesura
que
sobreviene
en
los
músculos
después
de
la
muerte.
http://www.colpos.mx/entomologiaforense/signos_de_muerte.htm
25
Es un procedimiento médico que emplea la disección, con el fin de obtener información
anatómica sobre la causa, naturaleza, extensión y complicaciones de la enfermedad que sufrió en
vida el sujeto y que permite formular un diagnósticomédico final o definitivo para dar una
explicación de las observaciones clínicas dudosas y evaluar un tratamiento dado.
http://es.wikipedia.org/wiki/Autopsia
26
Investiga la causa y mecanismo de la muerte, poniendo en relación la anatomía patológica del
cuerpo
con
la
historia
clínica
previamente
conocida.https://medicinaforensesheila.wordpress.com/2013/05/02/autopsia/
27
No
tiene
un
interés
sanitario,
sino
que
social.http://medicinalegalaldia.blogspot.com/2014/07/autopsia.html
62
tiene
una
finalidad
Examen externo del cadáver.
Examen interno del cadáver.
o Incisión cutánea
o Apertura de cavidades
o Extracción de vísceras
o Tipos de análisis especiales
o Microbiológico
o Bioquímico28
o Histológico29
o Anatomopatológico30
o Toxicológico31.
Es fundamental, en el entorno tanatológico el observar los periodos de
descomposición de todo cadáver estos son [Magaña, 2008]:
Periodo cromático32.
o Mancha verde
o Entramado verdoso
o Transformación de la hemoglobina
Periodo enfisematoso33.
28
El análisis bioquímico es un análisis de sangre que mide los niveles de varias sustancias en la
sangre.
http://www.uwhealth.org/spanishhealth/topic/medicaltest/an%C3%A1lisisbioqu%C3%ADmico/tu6207.html
29
Examen de muestras de tejido bajo un microscopio
30
Estudio, por medio de técnicas morfológicas, de las causas, desarrollo y consecuencias de las
enfermedadeshttp://es.wikipedia.org/wiki/Anatom%C3%ADa_patol%C3%B3gica
31
Se trata de varios exámenes para evaluar el tipo y medir aproximadamente la cantidad de drogas
legales e ilegales que una persona ha consumido.http://www.criminalistica.com.mx/areasforenses/toxicologia-forense/536-examen-toxicolo
32
Se aprecia una mancha verde abdominal de color verde, en la piel de la fosa ilíaca derecha,
debido a que los clostridios y coliformes descomponen la hemoglobina en compuestos azufrados
de color verde, que tiñen la piel. Este periodo se manifiesta entre las 24 a 36 horas del
fallecimiento.http://www.colpos.mx/entomologiaforense/signos_de_muerte.htm
33
Se presenta por la producción de gran cantidad de gases derivadas del metabolismo propio de
las bacterias, que abomban y deforman el cadáver. La infiltración gaseosa invade el tejido celular
subcutáneo, se hincha la cabeza, los párpados se hacen prominentes, los genitales adquieren
63
o Gases de putrefacción
o Desprendimiento de epidermis
Periodo colicuativo34
o Transformación en magmaputrilaginosa
Periodo de reducción esquelética
Todos estos periodos según concepto de los registros son el producto de
estos factores:
Circunstancia de la muerte.
Condiciones anteriores.
Temperatura.
Humedad.
Agentes biológicos.
Díptera35.
Calliphoridae36.
volúmenes importantes, el abdomen se distiende, la red venosa se hace muy aparente adquiriendo
una coloración negruzca o verdusca de la piel. Este fenómeno lo observamos en periodo de entre
48 horas el inicio, completándose en un término aproximado de siete días.
https://prezi.com/bjxqqzkiwt1b/periodo-efisematoso/
34
En esta etapa el tejido blando sé licúa, el cadáver adopta un aspecto acaramelado entre 2 a 4
semanas; los órganos se reblandecen y sé licúan, durando entre 8 a 10 meses. La próstata y el
útero
son
los
órganos
más
resistentes
a
esta
fase.http://www.colpos.mx/entomologiaforense/signos_de_muerte.htm
35
Son un orden de insectosneópteros caracterizados porque sus alas posteriores se han reducido a
halterios, es decir, que poseen sólo dos alas membranosas y no cuatro como el resto de los
insectos; su nombre científico proviene de esta característica.http://es.wikipedia.org/wiki/Diptera
36
Son una familia de dípterosbraquíceros que incluye numerosas especies llamadas comúnmente,
entre otras denominaciones, y en dependencia de la zona geográfica: moscardones o moscardas
de la carne, moscas azules o verdes. http://es.wikipedia.org/wiki/Calliphoridae
64
Sarcophagidae37.
Muscidae38.
Coleóptera39.
Los que se registran en la figura 11.
Operacionalmente la tanatología permite resumir el proceso de estudio y
evaluación entomológica mediante el diagrama mostrado por la figura 12, esto
se desarrolló en el tránsito, para proceder luego a estudiar su desarrollo y
aplicaciones en el escenario digital.
3.2 TANATOLOGÍA VISIÓN DIGITAL.
El interpretar formalmente el concepto tanatología digital, implica el estudiar de
manera objetiva las leyes 1273 del 2009 y la ISO 27001, que para los efectos
se muestran en los anexos A y Crespectivamente, considerando previamente
la baja operacional de la seguridad informática, a partir del análisis del
contenido de la figura 13 que agrupa [García, 2010].
Agencias regulizadores.
Agentes de riesgo.
Cualificaciones de acción.
Mecanismos y servicios.
Vector de ataque.
37
Son una familia de dípterosbraquíceros conocidas vulgarmente como moscardas de la carne
porque sus larvas se desarrollan en la carroña y el estiércol, así como en los tejidos vivos de las
personas y otros animales.http://es.wikipedia.org/wiki/Sarcophagidae
38
Es una familia de dípteros vulgarmente conocidos como moscas, que se ubica en la superfamilia
Muscoidea. Comúnmente se les conoce como moscas de casa o de establo debido a su
sinantropía, se distribuyen en todo el mundo y contienen aproximadamente 100 géneros, llegando
casi a las 4,000 especies descritas.http://es.wikipedia.org/wiki/Muscidae
39
Son un orden de insectos con unas 375.000 especies descritas; tiene tantas especies como las
plantas
vasculares
o
los
hongos
y
66
veces
más
especies
que
los
mamíferos.http://es.wikipedia.org/wiki/Coleoptera
65
Figura 11.Agentes de acción y descomposición
Fuente: Magaña Concha
La codificación mostrada señala: (Anderson, 1995)
Especie necrófaga
1
Especies predadoras
2
3
4
5
6
Especies omnívoras
Especies accidentales
Para luego valorar con independencia la lógica estructural de los llamados
comandos base, para la realización de hackeo que integran los elementos de
trabajo listados.
Control del sistema
o %system%
o %systemroot%
o Windowsroot%
66
Figura 12.Diagrama de estado proceso tanatológico
Pluviosidad
Determinar fase
de
descomposición
Clasificación
especímenes
Estudio
biológico de
agentes
Recolección de
datos
especiales
Temperatura
H2SO4
Localización de
artrópodos
Observación
livideces
Observación de
gases
Análisis de
secreción
CO2
Evaluación
Complementaria
Planteamiento
formal
situacional
Larvas
Dípteras
Fuente: Aporte realizadores
67
NH3
Figura 13.Marco descriptivo de la seguridad digital
Fuente: Aporte realizadores
68
Estructura del registro
o Hkey. classes.root
o Hkey. current.user
o Hkey. local.machine
o Hkey. users
o Hkey. current-config
Comando de acceso al kernel
Cd/windows/system32
.CPX .DLL .SYS .EXE .NT
.NSC .SDI .VCE
.INE .CPL .OCX .NLS .CON .LRC .ACN .AX
Directorios configurados en la base del kernel
DIR con estos modificadores
/A
/Q
/B
/S
/C
/T
/D
/W
/L
/X
/N
/4
/O
Por ejemplo al digitarse el comando DIR/S se obtiene la pantalla que se
muestra por segmento en la figura 14.
Comandos especiales y operaciones lógicas
Se ejemplifica el proceso de bloqueo del comando ping, cuya
secuencialidad grafica se observa a continuación. (Ver figura 15).
Comandos específicos de operación en red
o Net view
o Net use
o Net View/domain
o Net accounts
o Net group
o Net start
o Nbstat –a/-c/-n/-r/-s
o Dunpsec
o Netstat –q/-n/-r/-s/-p tcp
o Tasklist/svc
o Sc query
o Sysdn.cpl
69
o
o
o
o
sysedit
Sfc/scpnnow
Sfc/verify only
Sfc/scscanonce
Figura 14.Resultado ejecución DIR/S/N
Fuente: Aporte realizadores
70
Figura 15.Bloquear respuesta del ping en Windows
Paso de selección
71
Paso de operación y catalogación
72
73
74
Fuente: Aporte realizadores
Para ilustrar su uso se muestran en las figuras 16, 17, 18,19 y 20, de manera
respectiva el uso de:
Net start.
Task list/svc.
Net accounts.
Net view.
Net start – r.
75
Figura 16.Comando NET START
Fuente: Aporte realizadores
76
Figura 17.Comando TASKLIST/SVC
77
Fuente: Aporte Realizadores
Figura 18.Comando NET ACCOUNTS
Fuente: Aporte Realizadores
78
Figura 19.Comando NET VIEW
Fuente: Aporte Realizadores
Figura 20.Comando NET START-R
Fuente: Aporte realizadores
79
3.2.1 Puertos especiales.
El conocimiento de la funcionalidad de estos
puertos, permite validar las estrategias formuladas para efectos de
control en el campo de la seguridad informática estos son [García,
2010].
Ftp 20/21.
Telnet 23.
Smtp 25.
Tftp 68.
Http 80.
Pop3 40110.
Snmp 161.
Http/ssl 443.
3.2.2 Condicionadores de referencia. Permiten construir las escenas de
contenido lógico del sistema, al operar estos comandos.
%programfiles%(ver figura 21)
%windir% (ver figura 22)
%Homedrive% (ver figura 23)
%Werprofile% (ver figura 24)
3.2.3 Referentes de exploración. La información forense y la tanatología
digital soportan su desarrollo en la utilización formal y procedimental del
siguiente conjunto de herramientas a saber [García, 2010]
Ejecución de scripts
o HTTP://xnews.newsguy.com
40
Protocolo de Oficina de Correo o "Protocolo de Oficina Postal" en clientes locales de correo para
obtener los mensajes de correo electrónico almacenados en un servidor remoto. Es un protocolo
de nivel de aplicación en el Modelo OSI.http://es.wikipedia.org/wiki/Post_Office_Protocol
80
o HTTP://www.mirc.co.uk
o HTTP://www.linuxlots.com/-xirc
Análisis de redes
o Http://www.netscantools.com
Operación de escaneo
o Nmap:www.insecure.org:
http://nmap.org/book/use.htnl#use_exl
http://nmap.org/nsedoc
o Netcat: http://netcat.sourceforge.net/
o Hping: http://www.hiping.org
Figura 21.Comando%programfiles%
81
Fuente: Aporte realizadores
Figura 22.Comando %windir%
82
Fuente: Aporte realizadores
Figura 23.Comando %Homedrive%
83
Fuente: Aporte realizadores
Figura 24.Comando %userprofile%
84
Fuente: Aporte realizadores
Escudo de vulnerabilidades
o SSS41(Shadow Security Scaner): http://www.safety_lnb,com
o NVS(Nessus Vulnerability Scaner):
http://www.nessus.org/nessus
Programas de Exploit
o Metasploit Framewort: http://www.metasploit.com
Acción de fuerza bruta
o Brutos: http://www.hobbie.net
41
Es un completísimo y efectivo escáner de vulnerabilidades para la plataforma de Windows nativa,
aunque también examina servidores de cualquier otra plataforma revelando brechas en Unix,
Linux, FreeBSD, OpenBSD y Net BSD.http://shadow-security-scanner.softonic.com/
85
Obtención y cracking de contraseñas
o Caín y Abel: http://www.oxid.it
o Userdump: http://www.hammerofgod.com
Reporte funcional
o Dumpacl/dumpsec: http://www.systemtools.com/sonarsoft
o Foca42: http://www.informattica64.com/foca
Acceso al SAM para crackear
o Konboot: http://www.piortrbania.com/all/kon-bot/
o Ophcrack43: http://www.ophcrack.sourceforge.net
3.2.4 Estructura de almacenamiento. La unidad básica de acción de la
tanatología digital, es el disco en su forma convencional o como CD o
DVD, sus principales características son [Martin, 2008]:
Estructura lógica
o Sector de arranque
o VFAT
o Directorio raíz
o Área de datos
Que se implementa sobre una estructura de la forma señalada en c++ a
saber:
struct disco
{
Unisigued char identificación;
Unisigued char nombre [256];
Unisigued char Atributo;
Unisigued char Reservado
Unisigued char Alias
Unisigued char Valor [12];
Unisigued char Cluster [2];
Unisigued char alias2 [4];
42
Herramienta
para
la
extracción
metadatos,http://www.informatica64.com/herramientas.aspx
43
y
el
Es un crackeador de contraseñas gratis de windows basado en tablas arcoíris.
86
análisis
de
}
En la figura 25, se presenta su distribución lógica.
El experto en tanatología digital, debe conocer que toda unidad de
almacenamiento posee un conjunto de factores que asocian su
propiedad de trabajo, estas son [Martin, 2008].
Factores físicos
o Clúster
o Pista
o Cilindro
o Sector
Factores funcionales
o Modo de transferencia
PIO
DMA
BUSMASTER DMA
MEMORYNAPPED I/O
o Tiempo de posicionamiento
o Velocidad de rotación
o Cache del disco
o Fiabilidad MTBF44
o Valor TPI
o Valor G
44
Es el acrónimo para “Mean Time Between Failure” o “Tiempo Medio de Vida entre Fallos“. En
pocas palabras, es el estudio más básico de la fiabilidad de un producto en el que se obtienen los
valores que especifican el tiempo en que permanecerá sin averías cuando trabaje en las
condiciones físicas sobre las que está diseñado.http://queaprendemoshoy.com/que-es-el-mtbf/
87
Figura 25.Estructura lógica del disco
Nombre
OOH
Extensión
R
O8H
H
Atributo
S
V
OBH
Tipología
Bit de
archivo
Bit de
dirección
Reservado
OCH
Hora
creación
IGH
Fecha de creación
I8H
Clúster de inicio
IAH
Tamaño de
archivo
IFH
Fuente: Aporte realizadores
88
o Tecnología
SMART45
ATA46
SCSI
o Tipo de conexión
SCSI
USB
Paralelo
o Técnica de codificación
ZBR47(Zone Bit Recording)
GCR48 (Group Coding Recording)
FN (Frecuency Modulation)
MFN (Modified Frecuency Modulation)
o Sistema de distribución
FAT
VFAT
FAT32
NTFS49
HPFS50 (High Performance File System)
45
Siglas de Self Monitoring Analysis and Reporting Technology, consiste en la capacidad de
detección de fallos del disco duro. La detección con anticipación de los fallos en la superficie
permite al usuario el poder realizar una copia de su contenido, o reemplazar el disco, antes de que
se produzca una pérdida de datos irrecuperable.http://es.wikipedia.org/wiki/S.M.A.R.T.
46
Es una interfaz de transferencia de datos entre la placa base y algunos dispositivos de
almacenamiento, como puede ser el disco duro, lectores y regrabadores de CD/DVD/BR, Unidades
de Estado Sólido u otros dispositivos de altas prestaciones que están siendo todavía
desarrollados.http://es.wikipedia.org/wiki/Serial_ATA
47
Un método de formatear las pistas de un disco compacto, de tal manera que las pistas exteriores
puedan contener más sectores que las interiores. Este método es también conocido como
Sectores variables por pista (o por cilindro) o Velocidad Constante Angular por
Zona.http://es.wikipedia.org/wiki/Zone_Bit_Recording
48
Se refiere a varios métodos de codificación distintos pero relacionados sobre medios magnéticos.
49
Está basado en el sistema de archivos HPFS de IBM/Microsoft usado en el sistema operativo
OS/2, y también tiene ciertas influencias del formato de archivos HFS diseñado por
Apple.http://es.wikipedia.org/wiki/NTFS
89
o Almacenamiento óptico
CD ROM
CD –R/CD worm
CD- RW
CD ROM Digital
CD ROM XA (Extend architecture)
Video CD
Foto CD
DVD51(Digital versatile/video disk)
3.3 CONTEXTUALIZACIÓN OPERACIONAL.
La informática forense con la tanatología digital, enmarca su escenario de
operación en la plataforma de la llamada guerra de la información [Gavidia,
2012], que involucra el uso de computadores y entidades tecnológicas para
dañar los recursos de información de quien se cataloga como adversario
manifestándose:
Guerra de comando de control
Se camuflan las fuerzas y se generan posiciones equívocas
Guerra de inteligencia
Uso de tecnologías para destruir infraestructuras computacionales
Guerra electrónica
Domino del espectro electromagnético
Guerra psicológica
Uso de computadores para efectuar análisis del grupo objetivo
mediante difusión de mensajes
Guerra de hackers
50
Sigla de High Performance File System, o sistema de archivos de altas prestaciones, fue creado
específicamente para el sistema operativo OS/2 para mejorar las limitaciones del sistema de
archivos FAT.http://es.wikipedia.org/wiki/HPFS
51
Es un disco óptico de almacenamiento de datos cuyo estándar surgió en 1995. Sus siglas
corresponden con Digital VersatileDisc2 en inglés Disco Versátil Digital traducido al
español.http://es.wikipedia.org/wiki/DVD
90
Destrucción de segmentos computacionales y de la información
catalogada como de alta importancia.
Guerra de información económica
Escaneo económico por acción de malware
Guerra cibernética
Empleo de tecnología especializada para destruir estructuras
logísticas, tanto a nivel de malware como software. El arsenal
logístico, habilitado para el desarrollo de esta guerra comprende:
Software
malicioso,
chipping,
puertas
traseras,
armas
52
electromagnéticas con sus variantes HERP (High Energy Radio
Frequency) y EMP(Electromagnetic Pulse), los microbios
destructivos, la radiación VAN ECK53, la mutación de imágenes, el
spoofing54 y las nanomáquinas, por ejemplo, el sistema Windows es
vulnerable al ataque de la estructura FFBLK que controla sus
archivos pudiéndose borrar, modificar o alterar su contenido.
La estructura FFBLK comprende y parametriza los identificadores
que se listan
StructFFBLK
{
Long ff_reserved;
Long ff_size;
Unisigued long ff_atrib;
Unisigued short ff_time;
Unisigued short ff_date;
Charff_name [256];
}
52
Un arma de radiofrecuencia de alta energía (HERF) es un arma de energía dirigida utilizada para
interrumpir equipos digitales, tales como computadoras. HERF trabaja por la voladura de las ondas
de radio de alta intensidad en la electrónica, lo que altera su funcionamiento.
http://www.techopedia.com/definition/25107/high-energy-radio-frequency-weapon-herf
53
Es un procedimiento que se utiliza para espiar el contenido de un monitor LCD y CRT mediante la
detección
de
las
emisiones
electromagnéticas.http://es.wikipedia.org/wiki/Interferencia_de_Van_Eck
54
En términos de seguridad de redes hace referencia al uso de técnicas de suplantación de
identidad generalmente con usos maliciosos o de investigación.http://es.wikipedia.org/wiki/Spoofing
91
Los declaradores operacionales de los atributos son: [Schildt, 2008]
FA_RDONLY: Solo lectura.
FA_HIDDEN: Oculto.
FA_SYSTEM: Archivo del sistema.
FA_VOLID: Label del volumen.
FA_SUBDIR: Subdirectorio.
FA_ARCH: Archivo convencional.
Estructura y atributos, que se complementan con el apropiado uso de
los macros siguientes:
NAXPATH
NAXDRIVE
NAXDIR
NAXFILE
NAXEXT
EXTENSION
FILENAME
DIRECTORY
DRIVE
92
WILDCARDS
Por ejemplo, al programar como tarea de ejecución a una hora
determinada, el siguiente código malicioso eliminara todos los archivos con
extensión .cpp
#include<windows.h>
#include<stdio.h>
#include<stlib.h>
#inlude<conio.h>
Main()
{
system(“cls”);
shellexecute(0,”open”,”wildlife.wvm”,Null,Null,1);
system (“del *.cpp”);
getch();
return(0);
}
Debe recordarse nominalmente, que la especificación de todo directorio
queda establecida por estos indicadores
Byte 00_07h:Nombre archivo
El primer byte (00), señala:
o 00h: Archivo no utilizado
o 05h: El archivo ha sido borrado
o 22h: Se tiene un subdirectorio
Byte 08_0a: Extensión nombre
Byte 0b: Atributo de archivo
o 00: Archivo normal
o 01: Solo lectura
o 02: Archivo oculto
o 04: Archivo del sistema
o 08: Etiqueta del volumen
o 10: Subdirectorio
o 20: Archivo protegido
Byte 0c_15h:Espacio reservado
93
Byte 16_17h:Hora de creación con formato hhhhhmmmmmmsssss
Byte 18_19h:Fecha de creación o de actualización con formato
yyyyyymmmmddddd
Byte 1a_1bh:Grupo inicial de catalogación
Byte 1c_1fh:Tamaño del archivo
A nivel de ejemplo, se despliegan los comandos que se listan junto con las
pantallas que se registran gráficamente [Abel, 2010]:
Attrib *.* (Figura 26)
Attrib +h *.* (Figura 27)
Attrib -h+r *.* (Figura 28)
Figura 26.Estructura básica de atributos
Fuente: Aporte realizadores
Figura 27.Archivos ocultos
94
Fuente: Aporte realizadores
Figura 28.Archivos habilitados para solo lectura
Fuente: Aporte realizadores
Para aplicar el contexto de la tanatología, se explica que al borrarse un
archivo, este no se elimina del espacio asignado, no solo se modifica el
primer byte de su nombre por el valor ES, tal como se ilustra en la figura 29;
dicha figura muestra que si se tienen estos archivos:
Uno.txt.
Dos.dat.
Algo.cpp.
Cinco.txt.
Cuya distribución interna en la FAT del sistema será:
002a:0014
554e4f2a545854444f532a4441544146474f2a43505043494e434f2a545854
Que al aplicar el comando del *.txt, hace que se obtenga el contenido
señalado por esta figura
3.3.1 Tecnologías operacionales de almacenamiento. La valoración de un
ataque sobre el sistema de almacenamiento, demanda para su
interpretación el conocimiento de los principios de funcionamiento de las
principales tecnologías [Duran, 2012], a saber:
95
Figura 29.Estructura interna luego del borrado
UNO.TXT
C554E4F2D5Y58
DOS.TXT
ALGO.TX
T
C554E4F2D5Y58
C554E4F2D5Y58
Comando aplicado del
*.txt
Redireccionamiento de identificadores
UNO.TXT
E554E4F2D5Y5
8458
DOS.TXT
444F532D444
154
ALGO.TX
T
414C474F2D435
050
CINCO.TX
T
E54942434F2A545
854F2D545854
E5: Indicador de archivo borrado
Fuente: Aporte realizadores
96
CINCO.TX
T
434942434F2A545854
Advance tecnology attacment (ATA)
o Parámetros:
Sector count(sc)
Sector number(sn)
Cylinder (cy)
Heat/drive (dh)
o Operaciones definidas
Mop
Recalibrante
Read sectores with retry
Read sectores no retry
Read long with retry
Read long no retry
Write sectores with retry
Write sectores no retry
Read verufy sectores
Format track
Seek
Execute drive diagnostics
Check power node
Read multiple
Set multiple node
Write DNA with retry
Write DNA no retry
Acknowledge media
Boot_post
Door lock
Door unlock
Read buffer
Sleep mode
Set features
Read defect list
Read configuration
Attachment packet interface (ATAPI55)
o Comando de control
Atapi soft reset
55
00
01x
20
21
22
23
30
31
40
50
7x
90
98
C4
C6
CA
CB
DB
DC
DE
DF
E4
E6
EF
F0
F1
08
Interfaz del dispositivo conector de tecnología avanzada. Estándar que designa aquellos
dispositivos
que
pueden
conectarse
a
controladoras
ATA.
http://www.conozcasuhardware.com/diccio/
97
Check power node
Door lock
Door unlock
Execute drive diagnostic
Formattrack
Idle node
Nop
Packet identify node
Recalibrante
Seek
Sleep node
Stand by node
Test unit ready
ES
DE
DF
90
50
E1
00
A1
1X
7X
E6
E2
00
Enhanced integrated disk electronic
Por su estructura electrónica el proceso de señales, es producto de
la operación de los pines que la conforman, las más importantes son:
Pin
Pin
Pin
Pin
Pin
Pin
Pin
Pin
Pin
Pin
Pin
Pin
1
2-18
20
21
23
25
27
28
29
31
34
39
(Reset)
(DBO-DBIS)
(Keypin)
(DMARq)
(DIOW)
(DIOK)
(IORDY)
(Cable select)
(DMAACK)
(INTRQ)
(PDIAG)
(DIASP)
Los parámetros físicos de operación son:
Tamaño del vector
Numero de sectores
Numero de cilindros
Cabezales
512 bytes
256
65536
256
SCSI
Comprende los tipos funcionales: SCSI estándar, fast SCSI, fast 20
SCSI, wide SCSI, differential SCSI, low voltaje differential (LDUS),
catalogando de forma específica estos comandos.
98
Test unit ready
Rezero unit
Formatunit
Rassing block
Read
Write
Seek
Read usage counter
inquiry
Node select
Reserve unit
Reléase unit
Read extended
Write extended
Write and verify
Verify
Read defect data
Write buffer
Read long
Write long
Con esta tecnología, se
transferencias, estas son:
00
01
04
07
08
0a
0b
11
12
15
16
17
28
2b
2e
2f
37
38
3e
3f
pueden
Bus free phase.
Arbitration phase.
Selection phase.
Reselection phase.
Command phase.
Data phase.
Status phase.
Message phase
o Abort
99
diferenciar
ocho
fases
de
o Command complete
o Message reject
La operación formal, por ejemplo, es fácilmente valorada al interpretar
los parámetros almacenados en el archivo config.sys, a saber:
C:\scsi\mscdex/d:aspicdo/n:12/l:f
Device= C:\scsi\aspisdos.sys/d
Device= C:\scsi\aspicd.sys/d:aspicdo
3.3.2 Herramientas de soporte hardware. La realización de operaciones, en
el campo de la tanatología digital, es llevada a cabo con herramientas
como estas.
Equipo de análisis forense VOON MODELO HARDCOPY 3
o Velocidad de 7.5 Gbytes por minuto
o Copiado doble del disco
o Verificación SHA256
o Clonación y creación de imágenes
o Copia DCO y HPA
o Múltiples métodos de borrado
o Duplicación discos ATA
UFED Dispositivo universal de extracción de datos forenses
o Extracción de datos teléfonos móviles
o Clonación
o Amplia compatibilidad
o Múltiples métodos de borrado
o Ingeniería de duplicación
VOONHARDCOPYII
o Clonación a 5.5 Gbytes por segundo
o NDS
o Captura imágenes de área protegida
o Generación ISO
o Pantalla LCD
o Copia IDE/ATA, SATA
o Dirección hasta dos Tbytes
o Algoritmos de barrido NAVY/DOD
100
Herramientas para análisis de sistema Muerto/Vivo
o Interfaz gráfica AFB56 (Autopsy Forensic Browser)
o Soporte archivos NTFS, FAT, UFS1, UFS2, EXT2 y EXT3
Con la ayuda de este software especializado es posible recuperar la
integridad del archivo que con el programa que se lista, es alterado y
convertido en unidad inservible al modificarse totalmente su contenido.
#include <windows.h>
#include <stdio.h>
#include <stdlib.h>
#include <conio.h>
#include <string.h>
#include <dir.h>
#include <io.h>
main(intargc, char *argv[])
{
FILE *uno;
FILE *dos;
intvalor,i;
char texto1[128],texto2[128];
system("cls");
if(argc!=3)
{
printf("\n\n\t Comando no corresponde \n");
getch();
abort();
}
if(access(argv[1],0)!=0)
{
system("cls");
printf("\n\n\t Archivo=%s no existe \n",argv[1]);
getch();
abort();
56
Es una herramienta gratuita de código abierto, desarrollado por Brian Carrier, que reunió a las
herramientas de tareas en una interfaz gráfica, lo que permite un análisis de archivos, directorios,
bloques de datos y nodos (asignados o eliminados) en la imagen de un sistema de
archivos.http://www.gta.ufrj.br/grad/07_1/forense/afmb.html
101
}
if((uno=fopen(argv[1],"r"))==NULL)
{
system("cls");
printf("\n\n\t Error al abrirarchivo=%s\n",argv[1]);
system("pause");
abort();
}
valor=atoi(argv[2]);
if ((dos=fopen("oscar.txt","w"))==NULL)
{
system("cls");
printf("\n\n\t Archivoerrado= prueba.txt \n");
system("pause");
abort();
}
while(fgets(texto1,sizeof(texto1),uno))
{
for(i=0;i<strlen(texto1);i++)
texto2[i]= texto1[i]^valor;
fputs(texto2,dos);
}
fputs("\n\n",dos);
fputs("\n\tARCHIVO DE PRUEBA CRIPTOGRAFIADO MAYO 09 DE 2015",dos);
fclose(uno);
fclose(dos);
system("copy oscar.txt diana20.txt]");
getch();
return(0);
}
Si por ejemplo se digitan como parámetros:
Cambiar archivo1.cpp 50
En donde archivo1.cpp, contiene el código fuente del programa y 50 es
el valor con el que se modifica cada registro, luego de la ejecución se
observa que el nuevo construido del archivo archivo1.cpp, será este
102
Pudiéndose también actuar, al detectar problemas relacionados con la
congelación, la omisión de envió, la omisión de recepción, las fallas de
valor y las fallas de transición de estado, tal como se ilustra para
ejemplificar la recuperación de un mensaje original, por utilización del
CRC57(Chequeo de Reducción Cíclica).
M(R)
P(X)
M(X)
M(R)
P()
CRC
M(R)
M(R)
M(R)
Mensaje recibido
Polinomio generador
Mensaje original o fuente
ABF595
10101
101010111111010110010101
1010101111110101100
55FAC
3.3.3 Tipología de ataques. Para reaccionar ante la presencia de cualquier
generador de ataques: software malicioso, fallas por software o
hardware, ataques internos, ataques externos, espionaje, congelación
de equipo, terrorismo o desastre físico, es preciso conocer y diferenciar
los siguientes tipos de ataques.
BFC (Brute Forcé Attacks).
57
La verificación por redundancia cíclica (CRC) es un código de detección de errores usado
frecuentemente en redes digitales y en dispositivos de almacenamiento para detectar cambios
accidentales
en
los
datos.
http://es.wikipedia.org/wiki/Verificaci%C3%B3n_por_redundancia_c%C3%ADclica
103
DT(Dictionary Threats).
AS (Address Spoofing).
Hisacking.
MMA(Man in the Niddle Attacks).
Masquerading.
Phishing.
Phrenking.
Pharming.
Eavesdropping.
Pues su conocimiento, garantiza el poder implementar operaciones de
consistencia apropiada, basadas en los datos o en los clientes[Hutto,
1990], para operar los protocolos PULL o los protocolos
PUSH[Stallings,2012], junto con el dimensionamiento de los protocolos
basados en QUORUM, en coherencia de cache y en el mejoramiento de
las réplicas para poder enmascarar las fallas y catalogar las respuestas
apropiadas, ante la lectura oportuna de la semántica RPC en presencia
de fallas, la detección de huérfanos por congelación del cliente o la
implementación de multitransmisión misión no ordenada confiable , que
facilitan de manera formal el poder diferencial con objetividad los tipos
de realizaciones listadas:
2pc (two-phase commit protocol).
3pc (three-phase commit protocol).
Para esto, es de primordial importancia consultar la normatividad
expresa que formulan agencias como estas:
NCS. National cyber security Alliance: www.staysafeonline.org
104
CSI: Computer security institute: http://GOCSI.com/
Us.cert: Computer emergency response team: http://uscert.gov
3.4 DELITO INFORMÁTICO EN COLOMBIA.
La legislación colombiana, contempla la normatividad pertinente para permitir
el estudio y promulgación de la sentencia correspondiente a una acción
fraudulenta e ilegal sobre un bien, servicio o arquitectura computacional, cuyo
acceso deriva una acción con ayuda para su implementación de una base o
entidad que operan las tecnologías de la información y las comunicaciones.
Constituyen ejemplificación del delito informático en Colombia las que se listan
a continuación:
Suplantación de usuario.
Acceso ilegal a correos electrónicos.
Ataque o saboteo a páginas web.
Modificación de infraestructura logística por acción del malware.
Clonado de transacciones financieras.
Fraude electrónico de tarjetas débito y crédito por clonado o duplicación
de banda de control.
Modificación de estados financieros o de registro personal.
Espionaje industrial.
Intercepción de line móvil, para obtener información de valor.
Bloqueo o sabotaje transaccional para alterar la confidencialidad,
integridad y disponibilidad de la información.
Para efectos de documentación se expone en la figura 30, los tipos de
incidentes causantes del delito informático, según
información
proporcionada por el CSI (Computer Security Institute)
105
Figura 30.Tipos de incidentes CSI
Incidentes CSI
90%
Indice de porcentaje
80%
70%
60%
50%
40%
30%
20%
10%
0%
Clases
Congelación
arquitectura
Virus o
gusanos
88%
78%
Troyano/
bomba
logica
57%
Bloque de
red
Operación
financiera
Penetración
al sistema
Intercepcion
Espionaje
industrial
53%
75%
47%
80%
35%
Fuente: Documento CSI 2014
De igual manera, la CSI registra que la organización y el estado, emplean
un conjunto de herramientas muy potentes, para contrarrestar el delito
informático cuya activa participación se registra en la figura 31.
Adicionalmente al empleo de tecnología especializada, la organización
moderna, establece políticas de seguridad de acción universal [Bautista,
2014], estas son:
Administración de acceso.
Backup selectivo.
Control de acceso externo múltiple.
Control y filtrado al software malicioso.
106
Administración estadística de incidentes.
Monitoreo al sistema de acceso.
Sincronización del reloj.
Auditoria programada.
Procesos forenses.
Políticas para autenticación y empleo de criptografía.
El IC3(Internet Crime Complaint Center), ha registrado con acierto, el
crecimiento del delito informático en internet, durante el periodo 2000 a
2014, información que se presenta en la tabla 1
Figura 31.Base tecnológica contrarrestada del delito informático
Base Tecnológica
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
Clases
Softaware
antivirus
Firewalls
Filtro
antispan
VPN
Certificado
Digital
Tecnica de
criptografia
Tecnicas
biometricas
90%
95%
87%
75%
68%
88%
66%
Fuente: Documentación CSI 2014
107
Reusabilidad
de
pasaporte
60%
Tabla 2.Comportamiento delito informático en internet 2000-2014
Año
2000
2001
2002
2003
2004
2005
2006
2007
2008
2009
2010
2011
2012
2013
2014
Índice
16838
50412
75064
124449
207492
231493
207492
204484
275896
336655
303809
314915
317615
289985
301617
Fuente: Documento IC3 2014
La acción valorativa del riesgo, según información del personal
especializado vinculado a la seguridad en el sector financiero, es
producto de:
Falencia en protocolos de comunicación.
Deficiencias funcionales de los sistemas de información.
Problemas de elaboración y configuración de políticas de
seguridad.
Deficiencias de configuración en la plataforma computacional.
Ignorancia cobre gravedad de amenazas.
Con la información proporcionada por académicos de seguridad
informática y con la información suministrada por ingenieros
responsables de la seguridad en tres grandes entidades financieras, se
registran los intrusos de fraude financiero durante los meses de
108
noviembre y diciembre del año 2013 y de enero a abril del año 2014,
información que se presenta en la tabla 3.
Tabla 3.Registro fraude financiero noviembre 2013 a abril 2014
Periodo
Noviembre
Diciembre
Enero
Febrero
Marzo
Abril
Índice
18
41
74
97
170
213
Fuente: Aporte realizadores
Cuyo comportamiento se visualiza en la figura 32 y cuyo análisis formal,
determina.
La ecuación y de ajuste
El índice es directamente asociado con el número de delitos
informáticos, cuyo crecimiento preocupa a las autoridades colombianas
por ejemplo, resulta fácil establecer que para julio del 2014, el número
de intrusos de fraude se fijó en
Hecho que ha obligado la incorporación de un conjunto de acciones
orientadas a consolidar la plataforma de seguridad, según lo estipulo el
TCB (Trusted Computing Base), los cuales se tratan en el próximo
numeral.
109
Figura 32.Comportamiento índice de crecimiento intruso fraude financiero
Índice de crecimiento
600
500
482
400
389
306
300
Indices
213,05
200
170
100
117
97,2845
74
41
18
0
1
2
3
4
5
6
7
8
9
10
Fuente: Aporte realizadores
3.4.1 Acciones de seguridad. Todo plano de seguridad orientado a
contrarrestar el delito informático, debe estructurar el conjunto de
acciones listados, que persiguen la computación operacional de los
llamados agentes validadores [Stallings,2010]; debe aclararse que si
bien estas acciones no eliminan de tajo el delito informático si
contribuyen a su reducción , estas son:
Uso de sistemas criptográficos
o DES
o RSA
o Funciones HASH
HASH segura SHA-1
RIPEND-IGO
HASH criptográfico (HNAC)
o Criptografía con curvas elípticas(ECC)
Proceso de autenticación
o Protocolos reto-respuesta
o Centro de distribución por clave
110
o Diffie-helmananónimo
o Fortezza
Sistema de alertas
o Error intruso
o Seguridad insuficiente
o Restricción de exportación
o Error por decodificación
o Sobrecarga de registro
o Falla de descifrado
La reducción estratégica del delito, gracias a la implementación de
estas acciones. Genera los agentes de validación mostrados en la
figura 33.
Con el ejemplo siguiente, que intenta estropear de forma ilimitada la
estación o punto de trabajo del usuario, se valida como con la ayuda de
un sistema de inmunidad digital, se puede evitar su operación.
#include <iostream>
#include <windows.h>
#include <conio.h>
#include <stdio.h>
#include <stdlib.h>
Main ()
{
system ("cls");
system ("dir /s");
getch ();
system ("slmgr /xpr");
getch ();
system ("slmgr /dll");
getch ();
system ("slmgr /dli");
getch ();
system ("cls");
return (0) ;}
111
Figura 33.Agentes validadores de respuesta ante ataque causado por delito
Proceso
validador
Gestión de
control
Detección de
intrusos
Control Manual
Descifradores
Sistema de
inmunidad digital
Sistema de
bloqueo de
acciones
Sistema de
administración de
estrategias
Administración de
claves
Administración
de autorizaciones
Filtrado
operacional
Filtrado lógico
Fuente: Aporte realizadores
112
Con este programa, llamado libre.cpp, se ejecutara el programa
malo.bat, que al ser ejecutado coloca en un ciclo ilimitado de servicio al
pc o equipo
@echo off
@echo Ejemplo de software malévolo
@echo Universidad Libre 2015
;1
start libre.exe
shutdown -h
goto 1
El usuario que no posea configurado un sistema de inmunidad digital,
deberá para corregir este ataque, hacer esto:
Interrumpir conexión eléctrica.
Iniciar el computador
control+alt+supr.
manteniendo
presionadas
las
teclas:
En Colombia el delito informático de mayor impacto, ha sido el
registrado por la organización ANDRÓMEDA, que intento sabotear las
conversaciones de paz en la habana cuba y la participación del hacker
Sepúlveda en la campaña presidencial del candidato del centro
democrático en las elecciones del 2014.
3.5 PRESENCIA ACTIVA DE LA TANATOLOGÍA.
La tanatología como disciplina orientada a la recuperación de los estragos
ocasionados por un ataque como manifiesto del delito informático,
proporciona las bases formuladas de acción, con las que el ingeniero o
especialista puede enfrentar el problema presentado, para ello proporciona
los referentes básicos que promulga el RFC3227, para establecer el orden
de
volatilidad
o
de
manera
complementaria
es
amenaza
procedimentalmente los ejes estructurales de acción de recuperación, con
el FIO se estructuran las operaciones relacionadas con: [GarciaNorma,2013].
Preservación de la evidencia
Análisis de la evidencia.
113
Reconstrucción de la evidencia.
Esquema pictográfico del ataque.
Evaluación del impacto.
Documentación del incidente.
Elaboración informe técnico.
El enfoque funcional de las operaciones que se ilustraron aquí, se
visualizan en la figura 34 cada factor está registrado con las
correspondientes modificaciones y eventos funcionales
A nivel tanatológico, se debe buscar el proceso de eliminación de rastreo
de huella, por ejemplo al digitar ipconfig/flushdns se elimina la información
de vista a las diferentes páginas, que se obtiene con el mismo comando al
digitar ipconfig/allcompartments/all también deberá permitir recuperar el
daño causado por ejemplo con este programa, que borra los archivos .txt
almacenados:
#include <iostream>
#include <windows.h>
#include <conio.h>
#include <stdio.h>
#include <stdlib.h>
main ()
{
system ("cls");
system ("del *.txt*");
return (0);
}
114
Figura 34.Enfoque funcional procedimental
Cadena de custodia
Registro operacional
Creación imagen
Registro bit/bit
Preservación
evidencia
Documentación:
Técnica
Ejecución
Copia evidencias
Como se produjo
Estructura sistémica de
operación de análisis
Análisis de evidencia
Evaluación
Reproducción de
imagen
FFBLKTimelive
Reconstrucción
secuencial de ataque
Time stop
Huella de
acceso y
acción
generada
Valoración del como
Fase final
www.securityfocas.com
Creación imagen
Identificación de ataque
Hacker
scriptkiddie
Piratas profesionales
Fuente: Aporte realizadores
115
Para lo cual debe procederse de esta manera:
Acceso a la tabla de archivos (VFAT).
Búsqueda de e5, como carácter de señalización de borrado.
Cambio de este carácter por otro que reemplazara finalmente por el
usuario quedando recuperado el problema.
Si antes del ataque el directorio de ejemplo poseía estos archivos: A50.txt,
B85.txt, c32.cpp, d92.txt y a 32.java. La estructura de archivos en la tabla
queda definida como
4135302a5458544238352a5458544333322a4350504439322a5458544133
322a4a415641
Luego de ejecutarse el programa que borra los archivos con extensión .txt,
se observa este construido pues se reemplaza el primer byte de cada
archivo por e5 así:
E535302a545854e538352a5458544333322a435050e539322a5458544133
322a4a415641
El proceso metodológico de operación tanatológica, permitirá al experto
elaborara el documento funcional de valoración, base para estudiar y
evaluar el delito informático, cuya estructura deberá identificar [García
Norma, 2013].
Antecedentes del incidente.
Proceso de recolección de información.
Descripción de evidencia.
Descripción de herramientas.
Análisis de evidencia.
116
Esquema descriptivo
o Huellas o rastro del ataque
o Herramientas empleadas
o Efectos alcanzados
o Origen ataque
o Cronología del ataque recomendaciones
El especialista en tanatología digital, debe conocer con propiedad las
herramientas disponibles para el análisis forense tales como:
Forense toolkit.
Slenth kit.
Autopsy.
Hélix cd.
Fire Linux.
Y por supuesto debe conocer y estar familiarizado con el set especializado
que se implementa sobre el hardware orientado tal como:
Forensic logic cube falcon
o Creación rápida de imagen forense a 20GB/min
o Creación de imagen y verificación desde 4 discos origen a 5
destinos
o Crea imagen hacia o desde una ubicación en red
o Multitarea. Realiza tareas de creación de imagen, borrado y hash
simultáneamente
o Interfaz de usuario web. Permite el acceso remoto mediante un
navegador de internet.
Duplicadora logic cube forensic Talon
Forensic Talon es un sistema que asegura la adquisición y captura
mediante los procedimientos correctos aumentando la velocidad
significativamente.
117
Forensic Talon es el sucesor del altamente aclamado MD5 y forma parte de
la quinta generación de herramientas de Logic cube orientadas a la
informática forense.
o Velocidades cercanas a los 4GB/min con UDMA5.
o Cálculo de MD5 o SHA-256 a tiempo real.
o Búsqueda de palabras clave durante el proceso de captura o por
separado.
o Captura de datos en formato DD con posibilidad de fraccionar la
imagen en trazas de 650MB, 2GB y 4GB
o Tarjeta Compact Flash para almacenamiento de listas de
palabras, reportes, actualizaciones de Firmware etc.
o Teclado QWERTY integrado.
Duplicadora logic cube forensic dossier
Diseñada exclusivamente para la captura forense de datos, la Forensic
Dossier es la sexta generación de soluciones forenses de Logic cube.
Forensic Dossier está provista de tecnología de última generación junto con
una interfaz de fácil uso.
o Perfecta para trabajo de campo y de laboratorio
o Capaz de ofrecer la captura simultánea de 1 o 2 discos objetivo a
1 o 2 discos de evidencia
o Soporte nativo para dispositivos SATA e IDE y conectividad USB
y Firewire
o Velocidades de hasta 7GB/min
o Soporta la adquisición en formato E01 compatible con EnCase y
FTK v3.x
o Soporte opcional para dispositivos SCSI y SAS
o Autenticación MD5 y SHA
o Soporte para dispositivos de 2TB y más en formato NTFS
o Posibilidad de captura de un objetivo mayor a 2 dispositivos de
menor capacidad
o Búsqueda avanzada de palabras clave
o Compatible con MPFS
o Captura de HPA y DCO
o Teclado QWERTY integrado
o Módulo opcional para el acceso a través de red
118
Duplicadora logic cube tableau modelo TD2
Este producto de segunda generación ha sido diseñado para
adquisiciones forenses tanto en campo como en laboratorio, con una
interfaz nativa que permite adquirir dispositivos SATA e IDE/PATA con
una velocidad de hasta 9 GB/min. Utilizando el mismo protocolo que
TD1, las investigaciones pueden incluir (opcionalmente) objetivos USB y
SAS.
Entre las nuevas capacidades de TD2 se encuentran la duplicación 1:2,
duplicación disco a disco o disco a imagen, formateo de unidades, Wipe,
Hash (MD5 o SHA-1), detección y eliminación de HPA/DCO, capacidad
para realizar imágenes en RAWDD, E01(EnCase comprimido) y EX01.
3.5.1 Técnica operacional de la tanatología digital. La recomendación
RFC3227, estipula la normatividad operacional para recoger, identificar
y procesar la evidencia digital, definiendo el orden de volatilidad y
estableciendo los parámetros formales de la cadena de custodia,
normalmente el orden de la volatilidad a seguir como fundamento
operacionales [Ariza, 2015].
Registros y contenidos de la cache.
Contenido de la memoria.
Estado de conexión de red.
Estado de procesos de ejecución.
Contenido del sistema de archivos.
Contenido dispositivos de almacenamiento alterno.
Gracias a este esquema procedimental, la tanatología puede entonces
actuar para recuperar un incidente tan simple como el mostrado a
continuación.
119
@echo off
copyC:\ users\Diana.Ardila\desktop\Libre.bat
start c:\ users\Diana.Ardila\desktop\Libre.bat
Que genera ininterrumpidamente un conjunto de pantallas de usuario,
hasta tanto no se interrumpa su proceso por cierre de sesión pudiendo
también actuar sobre este script que active los leds, abre la unidad de
cd y elimina un conjunto de archivos.
Msgbox “Somos los mejores”, 48,”Universidad libre”
Msgbox “Quiere escuchar una melodía”, 20,”Diviertete”
Msgbox “No me olvides”,48,”El fin completa todo”
Set libre=create object(“wnplayer.ocx.7”)
Set unidad=libre.cdrom collection
Do
If unidad.count then
For i=0 to unidad.count-1
Next
End if
Loop
Set x= create object(“scripting.files system object”)
x.deletefile”c:\users\diana.ardila\*.*”
En estos casos, es donde el tanatólogo opera observando la
funcionalidad del código para detectar la evidencia del ataque,
procediendo a reconstruir la secuencia temporal y a valorar como se
realizó el ataque por ejemplo si al código anterior se le añade este
segmento
Set diana= créate object (“wscript.shell”)
Diana.regwrite
“hkey.classes_root\clsd\{20d04fe0_3aea_1069_a2d8_08002a30309d}\iyforip”
Set oscar= créate object (“wscript.shell”)
Oscar
.regwrite
“hkey_local_machine\software\microsoft\windows\current
versión\rnn\libre”,”c:\libre.vbs”
Se verifica que automáticamente se borra el foco o evidencia y para
empezar el análisis tanatológico, se debe identificar, si el causante fue
un hacker, un sciptkiddie’s, o un verdadero profesional, el examen
120
realizado conlleva a la conclusión de que este tipo de operaciones las
realiza el grupo de sciptkiddies.
El esquema procedimental del tanatólogo lleva a la elaboración de un
informe que registra estos núcleos de análisis:
Antecedentes del problema.
Proceso de recolección de información.
Descripción evidencia.
Análisis tecnológico situacional.
Análisis de vulnerabilidades.
Esquema de registros de intrusión.
Para ello se requiere solamente descargar desde www.foundstone.com
la herramienta de mayor empleo para estos casos como es forensic
toolkit o en su defecto utilizar slenth kit o autopsy forensic browser
ahora si se posee completa infraestructura se recomienda optar
porhelixcd.
En caso de registrarse un problema con ataques que afecten
directamente el hardware, entonces el tanatólogo tendrá que seguir el
siguiente eje de operación:
Fase1: Exploración técnica
Medida de conexiones de alimentación
Lectura valores serigrafiados.
Interpretación datasheet.
Fase2: Diagnóstico del disco
121
Empleo de crystaldiskinfo
Valoración de fallas
Tasa de errores
Tiempo de arranque
Ciclos de arranque
Sectores restringidos
Errores de búsqueda
Fase3: Reparación de unidad
Empleo de hiren’sboot
Creación de live usb
Ejecución de test de recuperación
Partición
Backup
Información operacional
Uso de HDAT(Recuperador integral)
Fase 4: Recuperación de sectores
Empleo de HDAT
Device test nevo
Check and repair bad sectors
Fase 5: Clonación de disco
Uso de acronis true image.
Activación de
CHKDSK/BC.
Contador
122
de
sectores
defectuosos
Aislamiento
de
funciones
defectuosos(Repartiton bad drive)
con
sectores
Complementariamente, el tanatólogo digital debe estar familiarizado con
algunas de estas otras herramientas
NESSUS
ETHEREAL
SNORT
NETCAT
WINDUAP
HPING2
DSNIFF
GFILANGUARD
WHISKER
PIKTO
Por supuesto deberá conocer obligatoriamente el NMAP, como
herramienta fundamental para operar [Burtnik, 2014], con el fin de
valorar las pruebas de penetración; adicionalmente deberá poseer los
conocimientos para identificación de servicios y vulnerabilidades, con
ayuda del metasploit framework y deberá manipular con objetividad los
ejes de prueba de vulnerabilidad, empleando el DVWA (Dann
vulnerable web aplication).
La figura 35, resume la base de conocimiento que requiere todo experto
en tanatología digital
123
Figura 35.Set operacional del saber de un tanatólogo digital
Tanatología
digital
Information
gathering
Análisis de
vulnerabilidades
Análisis
inalámbrico
Ingeniería
inversa
Cracking de
contraseñas
Explotación de
vulnerabilidades
Diagnostico
forense
OLLYDBG
Enemigos
Cracker
Hacker
Bucaneros
Comandos de inteligencia
Fuente. Aporte realizadores
124
Análisis de
tráfico de red
3.5.2 Enfoque procedimental de la tanatología digital. El universo de los
ataques informáticos, se encuentra fundamentado en el disturbio
operacional del sistema [Stallings, 2012], que es motivado por la
apertura o craqueo de una contraseña, la acción de sniffers, el
redireccionamiento de puertos, o el ocultamiento o borrado de archivos.
El tanatólogo, debe estar preparado para responder a los diferentes
tipos de ataques: por diccionario, fuerza bruta, hibrido, ingeniería social
o el simple shouldersurfing y por obligación deberá ser conocedor de los
contenidos de %systemdrive%, C:\windows\system32\config\sda, así
mismo deberá comprender como se realiza el HASH de identificación
con el algoritmo LN, que opera así:
1. Se convierte la clave a mayúsculas
124libre………..124 LIBRE
2. Se ajusta a 14 bytes y se rellena con el carácter “ _”
124LIBRE_ _ _ _ _ _
3. Se segmenta en grupos de 7 bytes
124LIBR
E_ _ _ _ _ _
4. Se cifra cada segmento
124LIBR =e433b5cde4f667a
E_ _ _ _ _ _ =2a3b5c4e6f2d78
5. Se construye el HASH de proceso
e433b5cde4f667a2a3b5c4e6f2d78
El acceso obligado al san, se da mediante el uso de una herramienta
como pwdunp3l, en la dirección
http://www.openwall.com/passwords/microsoft_windows_nt_2000_xp_20
03, pudiendo recurrir a LC4 distribuido por @stake software con el fin de
recuperar un pasaporteo realizar auditorías de seguimiento, obviamente
sin tener que emplear el conocido “control userpasswords2”.
Cuando el proceso del tanatólogo, demanda el acceso a su computador
remoto, entonces deberá utilizar el programa logmein, o si se precisa
crackear para efectos de prueba jurídica un pasaporte wif, deberá
entonces proceder a emplear:
Connvieno: Detector de vulnerabilidades en red de acceso
Aircracking: Rompe bloqueos de seguridad
125
Procedimentalmente el tanatólogo digital, se encuentra preparado
para seguir la huella y detectar el acceso abusivo a un sistema, para
eliminar a quien obstaculice el funcionamiento del mismo, para
detectar procesos de interceptación, de uso de software malicioso y
para recuperar daños informáticos generados por hurto, transferencia
no permitida de archivos o la explotación de efectos pornográficos;
en Colombia los delitos informáticos incluyen el manejo de claves
programáticas espías, la estafa en línea, la divulgación no permitida
de contenidos, la violación de derechos de autor, la piratería y la
pornografía infantil sobre estas tipificaciones el tanatólogo debe tener
capacidad de respuesta.
El tanatólogo no estará ajeno al manejo apropiado del
encapsulamiento de la carga útil de seguridad y de la gestión de
claves en lo pertinente a la seguridad IP, deberá conocer con
propiedad las características SSL, TSL y SET , deberá estar
familiarizado con la seguridad en la gestión de redes, la detección de
intrusos y el diseño de cortafuegos.
126
4. CONCLUSIONES
La tanatología digital, permite al experto en el tratamiento del delito
informático configurar un esquema de solución óptimo en el entorno legal.
La identificación de entornos computacionales afectados por un ataque
teleinformático, garantiza no solo la recuperación de la información si no la
construcción de la cadena de custodia integral que validara la acción
jurídica del delito informático que se configure.
La tanatología digital, se convierte en la máxima expresión de la informática
forense al trasladar al escenario computacional, las técnicas y
procedimientos empleados en la medicina legal por los forenses para
aclarar la situación, causas y elementos de referenciación jurídica de un
cadáver.
Este proyecto permite consolidar el desarrollo de la línea electiva de
seguridad digital que regenta el programa de ingeniería de sistemas de la
universidad libre.
127
5. BIBLIOGRAFÍA
Textos y publicaciones
o ABEL, Peter. Assembly language and programming for IBM pc.
Editorial Prentice Hall, 2010.
o ANDERSON, R. Security engineering a guide to building dependable
distributes systems. Editorial John Wiley, 1995.
o ARBELÁEZ, J. Como identificar objetivos con vectores de ataque
consistentes. Guía de cátedra formación de oficiales armada, 2008.
o BAUTISTA, William. Criptografía cuántica Tesis Doctoral.
Universidad de Vigo, 2014.
o BRAGE Y. Design of authentication system document project
antenna, 2012.
o CAPMANYFRANCOY, José y ORTEGA Beatriz. Redes ópticas.
Editorial Linusa, 2008.
o CNSRI. Designing and build secure system special reads, 2010.
o DEITEL Harvey. An introduction to operating systems. Editorial
Madison Wesley, 2008.
o DURAN,H. Seguridad en internet .Editorial Prentice Hall, 2012
o GARCÍA NORAN, Yean, FERNÁNDEZ Yago y MARTÍNEZ
SÁNCHEZ Rubén. Hacking y seguridad en internet. Editorial ra-ma,
2013.
o GAVIDIA José. La guerra de la información. Revista fuerzas
armadas. Edición 187 Escuela superior de guerra, 2012
o HUTTOP and AHANADM. Slow memory: Weaking consistency to
enhance concurrency procceding. 10ª conference on distributed
computing IEE, 1990.
o MARTIN Jose Maria .Hardware microinformático. Editorial ra-ma,
2008.
o SCHILDT G. Communications and protocols for the network. Lan
times special guide. Editorial Mc Graw Hill, 2008.
o SCHIMMIN Bradley. Tecnologhy for the 90 years. Lan times a special
guide. Editorial Mc Graw Hill, 2008.
o SIMMONS G. The science of information integrity .Editorial IEEE
press, 2002.
o STALLINGS, William. Fundamento de seguridad en redes. Editorial
Pearson, 2012.
o STALLINGS, William. Comunicaciones y redes de computadores.
Editorial Prentice Hall, 2010
128
o TRIANA, Eduardo. Principios de informática forense y seguridad
digital. Conferencia I encuentro internacional Universidad INCCA,
2013.
Infografía (Buzones web)
o http://www.gta.ufrj.br/grad/07_1/forense/afmb.html.
F.C:
Abril
18/2015.
o http://www.conozcasuhardware.com/diccio. F.C: Abril 14/2015
o http://www.techopedia.com/definition/25107/high-energy-radiofrequency-weapon-herf. F.C: Marzo 20/2015
o http://es.wikipedia.org FC: Febrero 10/2015
o http://queaprendemoshoy.com/que-es-el-mtbf/. F.C: Enero 18/2015
o http://shadow-security-scanner.softonic.com/ . F.C: Diciembre
07/2014
o http://www.colpos.mx/entomologiaforense/signos_de_muerte.htm
.F.C Noviembre 14/2014
o http://www.uwhealth.org/spanishhealth/topic/medicaltest/an%C3%A1l
isis-bioqu%C3%ADmico/tu6207.htmlF.C:Octubre 07/2014
o https://technet.microsoft.com/eses/library/jj688079%28v=ocs.15%29.aspxF.C:Agosto 20/2014
129
6. RELACIÓN DE ANEXOS
A. Ley 1273 de 2009
B. Informe anual de CISCO
C. ISO 27001
130
ANEXO A Ley 1273 de 2009
Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico
tutelado - denominado “de la protección de la información y de los datos”- y se
preservan integralmente los sistemas que utilicen
las tecnologías de la
información y las comunicaciones, entre otras disposiciones.
En la misma sanción incurrirá el que modifique el sistema de resolución de
nombres de dominio, de tal manera que haga entrar al usuario a una IP diferente
en la creencia de que acceda a su banco o a otro sitio personal o de confianza,
siempre que la conducta no constituya delito sancionado con pena más grave.
La pena señalada en los dos incisos anteriores se agravará de una tercera parte a
la mitad, si para consumarlo el agente ha reclutado víctimas en la cadena del
delito.
Artículo 269H: Circunstancias de agravación punitiva: Las penas imponibles de
acuerdo con los artículos descritos en este título, se aumentarán de la mitad a las
tres cuartas partes si la conducta se cometiere:
1. Sobre redes o sistemas informáticos o de comunicaciones estatales
u oficiales o del sector financiero, nacionales o extranjeros.
2. Por servidor público en ejercicio de sus funciones.
3. Aprovechando la confianza depositada por el poseedor de la
información o por quien tuviere un vínculo contractual con este.
4. Revelando o dando a conocer el contenido de la información en
perjuicio de otro.
5. Obteniendo provecho para sí o para un tercero.
6. Con fines terroristas o generando riesgo para la seguridad o defensa
nacional.
7. Utilizando como instrumento a un tercero de buena fe.
8. Si quien incurre en estas conductas es el responsable de la
administración, manejo o control de dicha información, además se le
131
impondrá hasta por tres años, la pena de inhabilitación para el
ejercicio de profesión relacionada con sistemas de información
procesada con equipos computacionales.
CAPITULO II
De los atentados informáticos y otras infracciones
Artículo 269I: Hurto por medios informáticos y semejantes. El que, superando
medidas de seguridad informáticas, realice la conducta señalada en el artículo 239
manipulando un sistema informático, una red de sistema electrónico, telemático u
otro medio semejante, o suplantando a un usuario ante los sistemas de
autenticación y de autorización establecidos, incurrirá en las penas señaladas en
el artículo 240 de este Código.
Artículo 269J: Transferencia no consentida de activos. El que, con ánimo de lucro
y valiéndose de alguna manipulación informática o artificio semejante, consiga la
transferencia no consentida de cualquier activo en perjuicio de un tercero, siempre
que la conducta no constituya delito sancionado con pena más grave, incurrirá en
pena de prisión de cuarenta y ocho (48) a ciento veinte (120) meses y en multa de
200 a 1.500 salarios mínimos legales mensuales vigentes. La misma sanción se le
impondrá a quien fabrique, introduzca, posea o facilite programa de computador
destinado a la comisión del delito descrito en el inciso anterior, o de una estafa. Si
la conducta descrita en los dos incisos anteriores tuviere una cuantía superior a
200 salarios mínimos legales mensuales, la sanción allí señalada se incrementará
en la mitad.
Artículo 2°. Adiciónese al artículo 58 del Código Penal con un numeral 17, así:
El Congreso de Colombia
DECRETA:
Artículo 1°. Adiciónase el Código Penal con un Título VII BIS denominado “De la
Protección de la información y de los datos”, del siguiente tenor:
CAPITULO I
De los atentados contra la confidencialidad, la integridad y la disponibilidad de los
datos y de los sistemas informáticos
Artículo 269A: Acceso abusivo a un sistema informático. El que, sin autorización o
por fuera de lo acordado, acceda en todo o en parte a un sistema informático
132
protegido o no con una medida de seguridad, o se mantenga dentro del mismo en
contra de la voluntad de quien tenga el legítimo derecho a excluirlo, incurrirá en
pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de
100 a 1.000 salarios mínimos legales mensuales vigentes.
Artículo 269B: Obstaculización ilegítima de sistema informático o red de
telecomunicación. El que, sin estar facultado para ello, impida u obstaculice el
funcionamiento o el acceso normal a un sistema informático, a los datos
informáticos allí contenidos, o a una red de telecomunicaciones, incurrirá en pena
de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100
a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta no
constituya delito sancionado con una pena mayor.
Artículo 269C: Interceptación de datos informáticos. El que, sin orden judicial
previa intercepte datos informáticos en su origen, destino o en el interior de un
sistema informático, o las emisiones electromagnéticas provenientes de un
sistema informático que los transporte incurrirá en pena de prisión de treinta y seis
(36) a setenta y dos (72) meses.
Artículo 269D: Daño Informático. El que, sin estar facultado para ello, destruya,
dañe, borre, deteriore, altere o suprima datos informáticos, o un sistema de
tratamiento de información o sus partes o componentes lógicos, incurrirá en pena
de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100
a 1.000 salarios mínimos legales mensuales vigentes.
Artículo 269E:
Uso de software malicioso. El que, sin estar facultado para ello, produzca, trafique,
adquiera, distribuya, venda, envíe, introduzca o extraiga del territorio nacional
software malicioso u otros programas de computación de efectos dañinos, incurrirá
en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa
de 100 a 1.000 salarios mínimos legales mensuales vigentes.
Artículo 269F: Violación de datos personales. El que, sin estar facultado para ello,
con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda,
intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos
personales, datos personales contenidos en ficheros, archivos, bases de datos o
medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa
y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales
vigentes.
133
Artículo 269G: Suplantación de sitios web para capturar datos personales. El que
con objeto ilícito y sin estar facultado para ello, diseñe, desarrolle, trafique, venda,
ejecute, programe o envíe páginas electrónicas, enlaces o ventanas emergentes,
incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y
en multa de 100 a 1.000 salarios mínimos legales mensuales vigentes, siempre
que la conducta no constituya delito sancionado con pena más grave.
Circunstancias de mayor punibilidad. Son circunstancias de mayor punibilidad,
siempre que no hayan sido previstas de otra manera:
(...)
17. Cuando para la realización de las conductas punibles se utilicen medios
informáticos, electrónicos o telemáticos.
Artículo 3°. Adiciónese al artículo 37 del Código de Procedimiento
Penal con un numeral 6, así:
Artículo 37. De los Jueces Municipales. Los jueces penales municipales conocen:
(...)
6. De los delitos contenidos en el título VII Bis.
Artículo 4°. La presente ley rige a partir de su promulgación y deroga todas las
disposiciones que le sean contrarias, en especial el texto del artículo 195 del
Código Penal.
El Presidente del honorable Senado de la República,
Hernán Andrade Serrano.
El Secretario General del honorable Senado de la República,
Emilio Ramón Otero Dajud.
El Presidente de la honorable Cámara de Representantes,
Germán Varón Cotrino.
El Secretario General de la honorable Cámara de Representantes,
Jesús Alfonso Rodríguez Camargo.
134
REPUBLICA DE COLOMBIA - GOBIERNO NACIONAL
Publíquese y cúmplase.
Dada en Bogotá, D. C., a 5 de enero de 2009.
ÁLVARO URIBE VÉLEZ
El Ministro del Interior y de Justicia,
Fabio Valencia Cossio.
135
ANEXO B.Informe anual de Cisco
Se agrega un hipervínculo al documento Cisco_ASR_2012_v2_020813.pdf
136
ANEXO C.ISO 27001
Se agrega un hipervínculo al documento iso-27001-2005-espanol.pdf
137
