TANATOLOGÍA DIGITAL Y DELITO INFORMÁTICO DIANA MARCELA ARDILA CARRILLO OSCAR FABIÁN LOMBANA JIMÉNEZ FACULTAD DE INGENIERÍA PROGRAMA DE INGENIERÍA DE SISTEMAS BOGOTÁ MAYO 2015 TANATOLOGÍA DIGITAL Y DELITO INFORMÁTICO DIANA MARCELA ARDILA CARRILLO OSCAR FABIÁN LOMBANA JIMÉNEZ Presentado como requisito para la titulación profesional como ingenieros de sistemas Proyecto de grado Director: Ing. Eduardo Triana FACULTAD DE INGENIERÍA PROGRAMA DE INGENIERÍA DE SISTEMAS BOGOTÁ MAYO 2015 Nota de aceptación Director Programa de Ingeniería Ing. Juan Fernando Velásquez C Presidente del jurado Jurado Jurado Bogotá (12,05,2015) III DEDICATORIA Dedico esta tesis en primer lugar a Dios quien me dio la fuerza para no rendirme nunca. A mi padre Germán Ardila por su valía y su apoyo durante el transcurso de estos años en la universidad. A mis profesores quienes siempre estuvieron dispuestos a compartir su conocimiento y sus experiencias como Ingenieros pues ellos engrandecen la expectativa que como futuros ingenieros forjaremos para nuestra vida. Diana Marcela Ardila IV DEDICATORIA A tu paciencia y comprensión, preferiste sacrificar tu tiempo para que yo pudiera cumplir con el mío. Por tu bondad y sacrificio me inspiraste a ser mejor para ti, ahora puedo decir que esta tesis lleva mucho de ti, gracias por estar siempre a mi lado, Diana. Oscar Fabián Lombana V AGRADECIMIENTOS El agradecimiento es sin lugar a dudas es para mi padre quien gracias a su esfuerzo y valentía supo guiarme y estar presente en cada uno de los aspectos más importantes desarrollados durante esta etapa de mi vida. Diana Marcela Ardila VI AGRADECIMIENTOS Agradezco a todas las personas que me motivaron y me dieron la mano cuando sentía que el camino se terminaba, a ustedes por siempre mi agradecimiento. Oscar Fabián Lombana VII TABLA DE CONTENIDO Pagina INTRODUCCIÓN .................................................................................................. XV 1. MARCO OPERACIONAL DE DESARROLLO ................................................ 16 1.1 IDENTIFICACIÓN DEL TRABAJO ........................................................... 16 1.2 PRESENTACIÓN DEL PROBLEMA DE ESTUDIO .................................. 16 1.2.1 Marco descriptivo problémico. ............................................................ 16 1.2.2 Formulación del problema. ................................................................. 16 1.3 2. PRESENTACIÓN DE OBJETIVOS........................................................... 17 1.3.1 Objetivo general. ................................................................................ 17 1.3.2 Objetivos específicos ......................................................................... 17 1.4 JUSTIFICACIÓN ....................................................................................... 17 1.5 ALCANCES Y LIMITACIONES ................................................................. 18 1.6 RESULTADOS ESPERADOS .................................................................. 18 1.7 MARCO DESCRIPTIVO INVESTIGATIVO ............................................... 19 1.7.1 Tipo de investigación.......................................................................... 19 1.7.2 Marco teórico. .................................................................................... 19 1.7.2.1 Marco conceptual. ........................................................................... 26 1.7.2.2 Marco tecnológico ........................................................................... 30 1.7.2.3 Marco legal ..................................................................................... 31 1.7.3 Metodología ingenieril. ....................................................................... 31 1.7.4 Ambiente de desarrollo tecnológico. .................................................. 33 1.7.5 Cronograma de desarrollo. ................................................................. 34 ESCENARIO DESCRIPTIVO FUNCIONAL .................................................... 37 2.1 CONTEXTUALIZACIÓN DE LA SEGURIDAD INFORMÁTICA ................ 37 2.2 ANÁLISIS DE LA SEGURIDAD DIGITAL ................................................. 42 2.2.1 Evaluación del sistema de tolerancia a fallas. .................................... 42 VIII 3. 2.2.2 Normativa de referentes de seguridad. .............................................. 50 2.2.3 Algoritmos de criptografía. ................................................................. 51 2.2.4 Configurantes operacionales sujetos a ataques ................................. 58 CONSTRUCCIÓN DE LA SOLUCIÓN INGENIERIL ....................................... 61 3.1 LA TANATOLOGIA: VISIÓN LEGISTA. .................................................... 61 3.2 TANATOLOGIA VISIÓN DIGITAL. ........................................................... 65 3.2.1 Puertos especiales. ............................................................................ 80 3.2.2 Condicionadores de referencia .......................................................... 80 3.2.3 Referentes de exploración. ................................................................ 80 3.2.4 Estructura de almacenamiento ........................................................... 86 3.3 CONTEXTUALIZACIÓN OPERACIONAL. ............................................... 90 3.3.1 Tecnologías operacionales de almacenamiento. ............................... 95 3.3.2 Herramientas de soporte hardware. ................................................. 100 3.3.3 Tipología de ataques. ....................................................................... 103 3.4 DELITO INFORMÁTICO EN COLOMBIA. .............................................. 105 3.4.1 3.5 Acciones de seguridad. .................................................................... 110 PRESENCIA ACTIVA DE LA TANATOLOGIA. ...................................... 113 3.5.1 Técnica operacional de la tanatologia digital. ................................... 119 3.5.2 Enfoque procedimental de la tanatologia digital. .............................. 125 4. CONCLUSIONES .......................................................................................... 127 5. BIBLIOGRAFÍA ............................................................................................. 128 6. ANEXOS ....................................................................................................... 130 IX LISTADO DE FIGURAS Pagina Figura 1.Modelo OSI/ISO ....................................................................................... 24 Figura 2.Cronograma proyecto .............................................................................. 36 Figura 3.Ejes lógicos de agresión a la seguridad................................................... 43 Figura 4.Referentes generacionales de vulnerabilidad .......................................... 46 Figura 5.Tendencias mundiales en materia de correo no deseado. ...................... 47 Figura 6.Estructura de distribución triangular ........................................................ 50 Figura 7.Estructura algoritmo de cifrado en bloque ............................................... 52 Figura 8.Resultados de algoritmo simple de criptografía ....................................... 53 Figura 9.Operatividad ASON ................................................................................. 55 Figura 10.Predicción índice de ataques ( +1) ............................................... 60 Figura 11.Agentes de acción y descomposición .................................................... 66 Figura 12.Diagrama de estado proceso tanatológico............................................. 67 Figura 13.Marco descriptivo de la seguridad digital ............................................... 68 Figura 14.Resultado ejecución DIR/S/N ................................................................ 70 Figura 15.Bloquear respuesta del ping en Windows .............................................. 71 Figura 16.Comando NET START .......................................................................... 76 Figura 17.Comando TASKLIST/SVC ..................................................................... 77 Figura 18.Comando NET ACCOUNTS .................................................................. 78 Figura 19.Comando NET VIEW ............................................................................. 79 Figura 20.Comando NET START-R....................................................................... 79 Figura 21.Comando%programfiles% ..................................................................... 81 Figura 22.Comando %windir%............................................................................... 82 Figura 23.Comando %Homedrive%....................................................................... 83 Figura 24.Comando %userprofile% ....................................................................... 84 Figura 25.Estructura lógica del disco ..................................................................... 88 Figura 26.Estructura básica de atributos ............................................................... 94 Figura 27.Archivos ocultos ..................................................................................... 94 Figura 28.Archivos habilitados para solo lectura.................................................... 95 Figura 29.Estructura interna luego del borrado ...................................................... 96 Figura 30.Tipos de incidentes CSI ...................................................................... 106 Figura 31.Base tecnológica contrarrestada del delito informático ........................ 107 Figura 32.Comportamiento índice de crecimiento intruso fraude financiero ........ 110 Figura 33.Agentes validadores de respuesta ante ataque causador de delito ..... 112 Figura 34.Enfoque funcional procedimental ......................................................... 115 Figura 35.Set operacional del saber de un tanatólogo digital .............................. 124 X LISTADO DE TABLAS Pagina Tabla 1.Definición de tiempos de trabajo ............................................................... 35 Tabla 2.Comportamiento delito informático en internet 2000-2014...................... 108 Tabla 3.Registro fraude financiero noviembre 2013 a abril 2014 ......................... 109 XI LISTADO DE ANEXOS Pagina ANEXO A Ley 1273 de 2009 .............................................................................. 131 ANEXO B.Informe anual de Cisco ...................................................................... 136 ANEXO C.ISO 27001 .......................................................................................... 137 XII RESUMEN La guerra de la información con su eje de la guerra electrónica y el shipping, exige a la ingeniería de sistemas, el diseño y construcción de soluciones que minimizando el riesgo o eliminándolo, hagan que la acción del delito informático sea nula. La violación de datos personales la interceptación de sistemas teleinformáticos, el acceso abusivo a un sistema, puede ser corregido con ayuda de la tanatología digital, que como disciplina ingenieril traslada y clona del entorno forense los procesos de recuperación e identificación, ya es común que mediante una USB, se logre hacer que un transistor eleve a 10 voltios la señal operacional de tensión haciendo que los circuitos y unidades se saturen, o que por radiación VAN ECK, los equipos fallen, sin contar que con el uso de ondas electromagnéticas los sistemas teleinformáticos se congelan por las fallas generadas por un ataque de intrusos, razón por la cual, a la informática forense debe añadírsele como nueva plataforma la tanatología digital. La tanatología, permitirá interpretar y solucionar los problemas relacionados con el craqueo de contraseñas, la denegación de servicios (DOS), los sniffer, las puertas traseras, el borrado de huellas y el redireccionamiento de puertos, la tanatología explota y valida la efectividad de los mecanismos de seguridad establecidos por x.800. PALABRAS CLAVES: Chipping, Craqueo, DoS, Tanatología, X.800 XIII ABSTRACT The information war with its axis of electronic warfare and shipping requires a systems engineering, design and construction solutions minimizing or eliminating the risk, make the action of computer crime is zero. The violation of personal data interception of teleinformatic systems, abusive access to a system, it can be corrected using the digital thanatology, which as an engineering discipline moves and cloned coroner environment recovery processes and identification, and it is common through USB, which is achieved to a transistor rises to 10 volts operating voltage signal causing the circuits and units are saturated, or radiation VAN ECK fail equipment, not to mention that with the use of electromagnetic waves systems teleinformatic They freeze for the failures generated by an intruder attack, why, a computer forensics should be added as new digital platform thanatology. Thanatology allow interpret and solve problems related to cracking passwords, denial of service (DoS), the sniffer, the rear doors, erasing tracks and port forwarding, thanatology explodes and validates the effectiveness of the security mechanisms established by X.800. KEY WORDS: Chipping, Cracking, DoS, Thanatology, X.800 XIV INTRODUCCIÓN El delito informático producto de la acción de los intrusos en la red exigió al gobierno colombiano mediante promulgación por parte del congreso de la ley 1273 del año 2009, contemplándose el acceso abusivo a un sistema informático, la obstaculización ilegitima de un sistema informático, el daño informático, el uso de software malicioso, la interceptación de datos informáticos y la violación de datos personales, se acrecienta la presencia destructiva de los piratas, hackers y bucaneros , que explotando las ventajas de la llamada guerra de la información, ocasionan graves anomalías en la infraestructura computacional, la informática forense con sus herramientas tecnológicas, presta sus invaluables servicios para la recuperación de valores informáticos y para la configuración jurídica del delito informático, pues con sus herramientas especializadas puede realizarse la verificación SHA256, la copia DCO y HPA y aplicar la ingeniería para duplicación de discos por clonación y valoración NDS, pero con la guerra electrónica, el ingeniero de sistemas, debe recurrir a la tanatología digital, para resolver problemas relacionados con la no funcionalidad del computador, por ejemplo como capturar los valores serigrafiados asociados con los diodos supresores de transitorios (TVS), para así analizar las condiciones de los discos y elaborar el diagnostico operacional dicho diagnóstico, suele realizarse con herramientas como el CRYSTALDISKINFO o el HIREN’SBOOT o el SIMPLE CHKDSK/BC. La tanatología determina la carta de especificación con la cual se recupera y analiza su incidente en este trabajo se presenta en el capítulo 1, la normativa operacional de desarrollo, que permite contextualizar el problema de estudio, con el capítulo 2, se define y presenta el marco de sustento teórico del trabajo y en el último capítulo se desarrolla la ingeniería de la solución, este trabajo es la base para futuras investigaciones sobre el tema de la seguridad digital, que permitirá a la universidad libre con su programa de ingeniería de sistemas, liderar la temática en el entorno de la guerra de la información. XV 1. MARCO OPERACIONAL DE DESARROLLO En este capítulo, se presentan y esquematizan de acuerdo a la normatividad establecida, los referentes que describen el marco de acción sobre el cual se construye y desarrolla este proyecto, es decir, se estructuran los principios teóricos que ilustran e informan al lector sobre las características que evidencian el escenario problémico tratado. 1.1 IDENTIFICACIÓN DEL TRABAJO Tanatología digital y delito informático 1.2 PRESENTACIÓN DEL PROBLEMA DE ESTUDIO 1.2.1 Marco descriptivo problémico. El creciente incremento del índice de ataques y amenazas a las infraestructuras computacionales en la organización moderna y en el aparato gubernamental , ha exigido la esquematización formal de un conjunto bien definido de técnicas orientadas a minimizar el riesgo por la presencia de un ataque, y a valorar el estamento de normalización correspondiente para atender lo pertinente al delito informático; la seguridad digital se convierte en un activo de gran valía tanto para la ingeniería como para la alta dirección de la empresa, hecho que exige para su interpretación la consideración de los principales esquemas de tanatología digital definidos en el escenario de la informática forense como disciplina generadora de procedimientos y técnicas de recuperación de información. 1.2.2 Formulación del problema. ¿Cómo valorar y dimensionar el apropiado esquema de acción, que proporciona la tanatología digital para estudiar la fenomenología pertinente al delito informático y para estructurar escenarios de acción procedimental para aplicación de la informática forense? 16 1.3 PRESENTACIÓN DE OBJETIVOS 1.3.1 Objetivo general. Construir el referente normativo de especificación y consulta, que permita a la comunidad académica del programa de ingeniería de sistemas UniLibre, el interpretar y dimensionar el espacio o contexto donde se genera el delito informático por aplicación procedimental del conjunto de técnicas cobijadas por la tanatología digital. 1.3.2 Objetivos específicos Interpretar funcionalmente las diferentes técnicas procedimentales definidas por la informática forense para contrarrestar los ataques y amenazas a las infraestructuras computacionales que operan y configuran una red. Evaluar y contextualizar los referentes conceptuales y principios que enmarcan la tanatología digital, para conocer e instrumentar los métodos y técnicas de recuperación de información existentes como factores que se oponen a un ataque o amenaza lanzada directamente o mediante el uso del denominado software malicioso o dañino. Valorar e interpretar sistemáticamente, los algoritmos de recuperación de información ante la presencia de una catástrofe computacional para catalogar su índice de acción como cualificador de la categoría del delito informático y así poder establecer la normatividad jurídica asociada con el problema considerado. 1.4 JUSTIFICACIÓN La línea electiva de seguridad informática en el programa, requiere de documentación integra para favorecer el interés de aprendizaje y para lograr la familiarización de la comunidad académica con los nuevos paradigmas que definen con confiabilidad y flexibilidad la informática forense como disciplina orientada a validar con acierto y certidumbre la existencia de un delito informático. 17 1.5 ALCANCES Y LIMITACIONES Enmarca este trabajo los aspectos relacionados con el tratamiento interpretativo de carácter sistémico del conjunto de normas, técnicas y procedimientos con los que la tanatología digital facilita catalogar un desastre teleinformático y determina el procedimiento óptimo de recuperación de la información y la cualificación operacional del dispositivo afectado. El eje de acción y desarrollo consignado en el presente trabajo, define las relaciones funcionales proporcionadas por la informática forense para interpretar el índice de materialización y ponderación del delito informático a la luz de los procedimientos y funciones de manejo y tratamiento definidas al interior de la tanatología digital; con el resultado o entregable final, el programa de ingeniería de sistemas de la universidad libre poseerá un documento editable que fortalecerá y consolidara la calidad de los estudiantes quienes cursan esta área de formación electiva. Como limitante referencial de desarrollo, el trabajo, permitirá que a partir de los resultados y experiencias evaluadas en el escenario de la informática forense se determinen y parametricen los núcleos complejos de operación, pero sin la presentación integral de alguna solución de carácter descriptivo o de carácter experimental, pues se considera viable que la comunidad académica interesada en la tanatología digital evalué las arquitecturas y axiomas requeridas para identificar y tipificar la cobertura del delito informático a la luz de esta disciplina. 1.6 RESULTADOS ESPERADOS El desarrollo integral de esta propuesta, permitirá el dimensionar, catalogar y evaluar con elementos de la cadena de valor del conocimiento, los factores que se relacionan a continuación. Soporte descriptivo de las relaciones y funciones de la tanatología digital como soporte proyectivo de la informática forense en el proceso de formalización del delito informático según legislación existente en nuestro país. Catalogo procedimental del conjunto de técnicas que contempla y operaciónalizar la tanatología digital para enfrentar con acierto los riesgos y problemas que generan un desastre tele informático. 18 Vademécum tecnológico que relaciona los algoritmos y técnicas de especificación utilizadas por la tanatología digital como respuesta a la presencia del software dañino o a la generación malintencionada de fallas o de tensiones funcionales de una arquitectura de cómputo. 1.7 MARCO DESCRIPTIVO INVESTIGATIVO La estructura de definición a nivel investigativo que soporta el desarrollo de este trabajo por sus principios de referenciación cualitativa , permiten visualizar la relación que el delito informático mantiene con las técnicas y procedimientos de la informática forense que considera la jurisprudencia colombiana, hecho que demanda la observación en primera instancia de la correspondiente ley (1273), el tratamiento formal de los ejes de acción que involucran la tanatología digital junto con la especificación y parametrización del conjunto de técnicas que proporciona la ciencia de la computación para tratar objetivamente los problemas pertinentes a la seguridad digital, debiéndose por lo tanto considerar: 1.7.1 Tipo de investigación. La tanatología digital y su relación directa con el marco conceptual de la informática forense para estudiar y evaluar los impactos del delito informático, evidencian características formales que se desarrollan y evalúan en el escenario de la investigación cualitativa; razón por la cual el constructo o entregable final integrara los procedimientos, metodologías y funciones definidas por este tipo de investigación 1.7.2 Marco teórico. Para construir el entregable que sustenta el objetivo general de este proyecto, es preciso integrar como referente de análisis y discusión el conjunto de validación teórica que se lista a continuación: Jurisprudencia legal colombiana La ley 1273, contempla, como base formal, el cuerpo de acción por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado denominado "De la protección de la información y de los datos" y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones; complementariamente a la luz de dicha ley , el delito informático surge como nueva entidad que demanda la presencia del 19 juez para contrarrestar el acceso ilícito al patrimonio de terceros a través de clonación de tarjetas bancarias, vulneración y alteración de los sistemas de cómputo para recibir servicios y transferencias electrónicas de fondos mediante manipulación de programas y afectación de los cajeros automáticos, que se validan jurídicamente, mediante la consideración de dos facetas importantes, a saber : De los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos y de los atentados informáticos y otras infracciones. Esta ley, contempla en su articulado base, la consideración del conjunto de circunstancias que generan o motivan los riesgos, daños y anomalías producidas por el acceso abusivo a un sistema informático, siendo pertinente listar para su consideración correspondiente: ARTÍCULO 1o. Adiciónase el Código Penal con un Título VII BIS denominado De la Protección de la información y de los datos, del siguiente tenor: o CAPITULO I De los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos Artículo 269A: Acceso abusivo a un sistema informático. Artículo 269B: Obstaculización ilegítima de sistema informático o red de telecomunicación Artículo 269C: Interceptación de datos informáticos Artículo 269D: Daño Informático. Artículo 269E: Uso de software malicioso Artículo 269F: Violación de datos personales Artículo 269G: Suplantación de sitios web para capturar datos personales Artículo 269H: Circunstancias de agravación punitiva: Las penas imponibles de acuerdo con los artículos descritos en este título, se aumentarán de la mitad a las tres cuartas partes si la conducta se cometiere: 20 Sobre redes o sistemas informáticos o de comunicaciones estatales u oficiales o del sector financiero, nacionales o extranjeros. Por servidor público en ejercicio de sus funciones. Aprovechando la confianza depositada por el poseedor de la información o por quien tuviere un vínculo contractual con este Revelando o dando a conocer el contenido de la información en perjuicio de otro. Obteniendo provecho para sí o para un tercero. Con fines terroristas o generando riesgo para la seguridad o defensa nacional Utilizando como instrumento a un tercero de buena fe. Si quien incurre en estas conductas es el responsable de la administración, manejo o control de dicha información, además se le impondrá hasta por tres años, la pena de inhabilitación para el ejercicio de profesión relacionada con sistemas de información procesada con equipos computacionales. Artículo 269I: Hurto por medios informáticos y semejantes Artículo 269J: Transferencia no consentida de activos. Si la conducta descrita en los dos incisos anteriores tuviere una cuantía superior a 200 salarios mínimos legales mensuales, la sanción allí señalada se incrementará en la mitad. Adicionalmente, la integración de la tanatología digital, la informática forense con el delito informático implica necesariamente, el considerar como referencial de sustento validatorio la ley 679 de 2001, cuyo cuerpo de acción legal contempla la expedición de un estatuto para prevenir y contrarrestar la explotación, la pornografía y el turismo sexual con menores, en desarrollo del artículo 44 de la 21 Constitución; cuya base y estructura jurídica fue producto de una comisión de peritos jurídicos y expertos en redes de comunicación para contrarrestar los contenidos prejudiciales para menores de edad, tales contravenciones se contemplan en el contenido del artículo 7, que trata lo pertinente a las prohibiciones, aludiendo en lo pertinente que los proveedores o servidores, administradores y usuarios de redes globales de información no podrán: o Alojar en su propio sitio imágenes, textos, documentos o archivos audiovisuales que impliquen directa o indirectamente actividades sexuales con menores de edad. o Alojar en su propio sitio material pornográfico, en especial en modo de imágenes o videos, cuando existan indicios de que las personas fotografiadas o filmadas son menores de edad. o Alojar en su propio sitio vínculos o links, sobre sitios telemáticos que contengan o distribuyan material pornográfico relativo a menores de edad. Redes de comunicaciones La red de comunicaciones, se define normalmente como la entidad computacional validada telemáticamente, que permite interconectar nodos con independencia geográfica para transmitir o recibir valores informáticos que fluyen en una transacción1 ;la teleinformática , define no solo la configuración física asociada con la red , sino que estipula los descriptores lógicos que definen el modelo operacional para el intercambio transaccional, integrando los mecanismos y políticas de seguridad y valorando los sistemas de confiabilidad empleados por los niveles de sesión presentación y aplicación. Se listan a continuación los referentes conceptuales, propios del escenario de las redes de comunicación de computadores: 1 TOMASI Wayne. Sistemas electrónicos de comunicación. 22 o Modelo OSI / ISO: Conjunto de normativas procedimentales y reguladoras que definen, supervisan y validan la integridad y configuración de un sistema orientado al intercambio transaccional de valores informáticos, su despliegue por niveles, se visualiza en la figura 1. o Amenaza: Una posibilidad de violación de la seguridad, que existe cuando se da una circunstancia, capacidad, acción o evento que pudiera romper la seguridad y causar perjuicio. Es decir, una amenaza es un peligro posible que podría explotar una vulnerabilidad. o Ataque: Un asalto a la seguridad del sistema derivado de una amenaza inteligente es decir, un acto inteligente deliberado (especialmente en el sentido de método o técnica) para eludir servicios de seguridad y violar la política de seguridad de un sistema. o Criptografía: Tradicionalmente se ha definido como el ámbito de la criptología que se ocupa de las técnicas de cifrado o codificado destinadas a alterar las representaciones lingüísticas de ciertos mensajes con el fin de hacerlos ininteligibles a receptores no autorizados. Estas técnicas se utilizan tanto en el Arte como en la Ciencia. Por tanto, el único objetivo de la criptografía es conseguir la confidencialidad de los mensajes. Para ello se diseñaban sistemas de cifrado y códigos. o RFC2828:Conjunto normativo para estructurar las políticas y mecanismos de seguridad, establecidos por participación directa de las agencias: IAB,IETF,IESG o SET: (Secure electronic transaction). Protocolo de seguridad y encriptamiento en el nivel de transporte, que garantiza el flujo integral de valores informáticos en la red, alejados de ataques o posibles amenazas. o X.509: En criptografía, X.509 es un estándar UIT-T para infraestructuras de claves públicas. X.509 específica, entre otras 23 cosas, formatos estándar para certificados de claves públicas y un algoritmo de validación de la ruta de certificación. Figura 1.Modelo OSI/ISO Fuente: El modelo OSI de ISO http://tecnologia4elasalle.wikispaces.com/El+Modelo+OSI+de+ISO 24 o X.800: Es una recomendación que describe las características básicas que deben ser consideradas cuando se quiere conectar una computadora con otras, ya sea conectarse a Internet o a una Red de área local, de forma segura. Informática forense Los desarrollos de la teleinformática y su masificación en todas las esferas de la sociedad, ha revolucionado la concepción del juez en su espacio nominal y ha exigido que él se ocupe de interpretar funcionalmente el valor de la información, según los expertos en informática forense: Giovanni Zuccardi y Juan David Gutiérrez, cuando se realiza un crimen, muchas veces la información queda almacenada en forma digital, sin embargo, existe un gran problema, debido a que los computadores guardan la información de tal forma que no puede ser recolectada o usada como prueba utilizando medios comunes, se deben utilizar mecanismos diferentes a los tradicionales, en virtud de lo cual, la informática forense adquiere una gran importancia dentro del área de la información electrónica, esto debido al aumento del valor de la información y/o al uso que se le da a ésta, al desarrollo de nuevos espacios, resaltando su carácter científico, tiene sus fundamentos en las leyes de la física, de la electricidad y el magnetismo. Es gracias a fenómenos electromagnéticos que la información se puede almacenar, leer e incluso recuperar cuando se creía eliminada. En este trabajo de grado, se presentara formalmente lo pertinente a: ¿Qué es la Informática Forense? , NFTA (Network Forensic Analysis Tool), Evidencia Digital, Clasificación de la evidencia digital, Criterios de admisibilidad y Gestión de la evidencia digital. Tanatología digital Siendo la tanatología la base estructural de este proyecto, se hace necesario en primera instancia conocer el significado de esta ciencia en el entorno de la medicina forense, la cual la considera como: “La ciencia que se encarga del estudio del cadáver y de todas las circunstancias que lo rodean. En el estudio de la muerte humana se entra de lleno en toda una serie de consideraciones ético – 25 filosóficas”2 ; bajo la visión puramente clínica la tanatología contempla cuatro grandes fases, estas son: 1. 2. 3. 4. Diagnóstico de muerte cierta. Procesos que se dan en el cadáver. Establecer la causa de la muerte. Técnicas de estudio del cadáver, principalmente la autopsia pero sin olvidar las técnicas complementarias. Nominalmente, la tanatología, proviene de 2 vocablos griegos, “Tanatos” que significa Muerte, y “Logos” que significa tratado o estudio. Es la disciplina que estudia el fenómeno de la muerte en los seres humanos, tratando de resolver las situaciones conflictivas que suceden en torno a ella, desde distintos ámbitos del saber, como son la medicina, la psicología, la religión y el derecho fundamentalmente;3 de la misma forma se podría entonces considerar la tanatología digital como la disciplina de las ciencias de la computación, que validando el objetivo fundamental de la informática forense, permite que el experto analice , determine y valide funcionalmente la infraestructura computacional e informática con sus efectos colaterales a fin de producir integralmente el concepto que facilitara al juez dimensionar la complejidad del delito informático cometido, para de esta manera promulgar con efectividad la correspondiente sentencia. 1.7.2.1 Marco conceptual. El logro del objetivo formulado, será el producto en este trabajo de la consideración, manejo e instrumentación de los siguientes conceptos, los cuales por su pertinencia se definen brevemente: Acceso ilícito: Al que sin autorización conozca o copie información contenida en sistemas o equipos de informática protegidos por algún mecanismo de seguridad 2 Tanatologia [online]. Mayo 2014. Disponible en internet. Variados/Tanatologia/1698596.html 3 http://clubensayos.com/Temas- MONTERO, Fernando. Tanatología forense [online]. Abril 13 2012 .Disponible en internet http://es.scribd.com/doc/89244406/TANATOLOGIA-FORENSE 26 Acción legal: Acto jurídico, hecho humano, voluntario o consiente, y lícito que tiene por fin inmediato establecer entre las personas relaciones jurídicas, crear, modificar o extinguir derechos y obligaciones. Ataque informático: Es un método por el cual un individuo, mediante un sistema informático, intenta tomar el control, desestabilizar o dañar otro sistema informático (ordenador, red privada, etcétera). Borrado: Es una acción efectuada por un usuario, programa o por el sistema operativo sobre una o más unidades de almacenamiento que vacía a uno o más bytes que contienen información. Configuración: Es un conjunto de datos que determina el valor de algunas variables de un programa o de un sistema operativo, estas opciones generalmente son cargadas en su inicio y en algunos casos se deberá reiniciar para poder ver los cambios, ya que el programa no podrá cargarlos mientras se esté ejecutando, si la configuración aún no ha sido definida por el usuario. Delito informático: Los actos dirigidos contra la confidencialidad, la integridad y la disponibilidad de los sistemas informáticos, redes y datos informáticos, así como el abuso de dichos sistemas, redes y datos Denegación: La denegación, por lo tanto, es una respuesta negativa a una solicitud o a un pedido. FAT: Tabla de asignación de archivos, comúnmente conocido como FAT (del inglés file allocation table), es un sistema de archivos desarrollado para MS-DOS, así como el sistema de archivos principal de las ediciones no empresariales de Microsoft Windows hasta Windows Me. Es un formato popular para disquetes admitido prácticamente por todos los sistemas operativos existentes para computadora personal. Se utiliza como mecanismo de 27 intercambio de datos entre sistemas operativos distintos que coexisten en la misma computadora, lo que se conoce como entorno multiarranque. También se utiliza en tarjetas de memoria y dispositivos similares. Firma digital: Una firma digital es un mecanismo criptográfico que permite al receptor de un mensaje firmado digitalmente determinar la entidad originadora de dicho mensaje, y confirmar que el mensaje no ha sido alterado desde que fue firmado por el originador (integridad). La firma digital se aplica en aquellas áreas donde es importante poder verificar la autenticidad y la integridad de ciertos datos, por ejemplo documentos electrónicos o software, ya que proporciona una herramienta para detectar la falsificación y la manipulación del contenido. Hacking: Es la búsqueda permanente de conocimientos en todo lo relacionado con sistemas informáticos, sus mecanismos de seguridad, las vulnerabilidades de los mismos, la forma de aprovechar estas vulnerabilidades y los mecanismos para protegerse de aquellos que saben hacerlo. Husmeo: Los piratas informáticos utilizan una técnica denominada husmear para adquirir información que pueden utilizar para entrar en sus sistemas. Los programas de husmeo pueden "acertar a oír" datos importantes no cifrados que pasen por Internet, tales como ID de usuarios y contraseñas. Informática forense: Según el FBI, la informática o computación forense es la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y guardados en un medio computacional. Linux: Sistema operativo que posee un núcleo del mismo nombre. El código fuente es abierto, por lo tanto, está disponible para que cualquier persona pueda estudiarlo, usarlo, modificarlo y redistribuirlo. 28 NFS: El Network File System (Sistema de archivos de red), o NFS, es un protocolo de nivel de aplicación, según el Modelo OSI. Es utilizado para sistemas de archivos distribuido en un entorno de red de computadoras de área local. Posibilita que distintos sistemas conectados a una misma red accedan a ficheros remotos como si se tratara de locales. Privacidad: Es el derecho de mantener de forma reservada o confidencial los datos de la computadora y los que intercambia con su red. Actualmente la privacidad se ve sistemáticamente violada por spyware, cookies, piratas informáticos, virus, redes inseguras, etc. Seguridad: La seguridad informática es una disciplina que se relaciona a diversas técnicas, aplicaciones y dispositivos encargados de asegurar la integridad y privacidad de la información de un sistema informático y sus usuarios. Sistema operacional: Es el programa (o software) más importante de un ordenador. Para que funcionen los otros programas, cada ordenador de uso general debe tener un sistema operativo. Los sistemas operativos realizan tareas básicas, tales como reconocimiento de la conexión del teclado, enviar la información a la pantalla, no perder de vista archivos y directorios en el disco, y controlar los dispositivos periféricos tales como impresoras, escáner, etc. Suplantación: La suplantación de identidad en línea, o phishing es una forma de engañar a los usuarios para que revelen información personal o financiera mediante un mensaje de correo electrónico o sitio web fraudulento. Normalmente, una estafa por suplantación de identidad empieza con un mensaje de correo electrónico que parece un comunicado oficial de una fuente de confianza, como un banco, una compañía de tarjeta de crédito o un comerciante en línea reconocido. En el mensaje de correo electrónico, se dirige a los destinatarios a un sitio web fraudulento, donde se les pide que proporcionen sus datos personales, como un 29 número de cuenta o una contraseña. Después, esta información se usa para el robo de identidad. VFAT: (Virtual File Allocation Table) Tabla virtual de asignación de archivos. Sistema de archivos utilizado en Windows para Workgroups y Windows 95. Provee acceso de alta velocidad en Modo Protegido de 32 bits para manipulación de archivos. Windows: Familia de sistemas operativos gráficos (GUI) para computadoras desarrollada por la empresa Microsoft. Su traducción literal al español es Ventanas, pues su interfaz se basa en ellas. Microsoft Windows es el sistema operativo más usado del mundo con un 90% de penetración en el mercado. 1.7.2.2 Marco tecnológico. La infraestructura operacional logística requerida para el proyecto, se estructura formalmente en la utilización de un PC que servirá como equipo de prueba, en el que se validaran los referentes o prototipos configurados para certificar a nivel de documentación y seguimiento la confiabilidad del resultado generado, se citan a continuación sus componentes: Plataforma hardware: o Procesador: Intel Core i5 o Memoria: 4 GB o Almacenamiento secundario:500GB o Impresora: Hp Packard Plataforma software: o Sistema operativo: Windows o Soporte ofimático: Office 2010 o Software libre para autopsias de dispositivos o Software de control de seguridad Complementariamente, es necesario emplear un soporte especializado de herramientas de uso libre que aportaran en la construcción de los factores diferenciadores del entregable a liberar, y que se utilizara como soporte piloto para los desarrollos académicos pertinentes en las líneas de electiva que contemplan y 30 tratan la seguridad informática en el programa de sistemas de la universidad libre. Complementariamente, se hace necesario especificar que el tratamiento operacional que en este trabajo se le da a la tanatología digital para consolidar el análisis del delito informático , demanda de la formulación e instrumentación de los principios básicos que el esquema tecnológico proporciona la informática forense, debiéndose por obligación el asociar tanto las arquitecturas hardware existentes para aplicación en la informática forense como el conjunto de algoritmos y técnicas de recurrencia empleados para cualificar la acción de un delito sobre una arquitectura computacional producto de un ataque informático. 1.7.2.3 Marco legal. Este proyecto considera como formalismos de acción legal, lo referente al marco que contempla los derechos de autor y la propiedad intelectual, formulados por el magistrado Alfredo Vega Jaramillo, quien en el año 2010, publico el texto titulado: “MANUAL DE DERECHO DE AUTOR”4, bajo el auspicio de la DIRECCIÓN NACIONAL DE DERECHO DE AUTOR DE LA UNIDAD ADMINISTRATIVA ESPECIAL MINISTERIO DEL INTERIOR Y DE JUSTICIA; en este compendio se considera lo pertinente a:Propiedad intelectual, Derecho de autor y propiedad industrial, derecho de autor y derechos conexos, objeto del derecho de autor, autores y titulares, los derechos morales, titularidad y ejercicio del derecho moral y los derechos de reproducción, comunicación pública, transformación, distribución y seguimiento ; contenido que para facilitar su lectura e interpretación se dio a conocer , al elaborar la propuesta correspondiente; en lo concerniente al acervo jurídico existente, se considera como carta funcional de especificación, el articulado de la ley 1273, que se presenta en el anexo A. 1.7.3 Metodología ingenieril. El desarrollo de todo proyecto de base tecnológica, requiere para su sustento procedimental, el considerar los ejes operacionales que enmarcan ,categorizan y definen tanto los 4 JARAMILLO VEGA, Alfredo. Manual de derecho de autor [online].Bogotá 2010.Disponible en internet http://www.derechodeautor.gov.co/documents/10181/331998/Cartilla+derecho+de+autor+%28Alfre do+Vega%29.pdf/e99b0ea4-5c06-4529-ae7a-152616083d40 Manual de derecho de autor 31 enunciados asociados con las acciones a cumplir como los entregables a liberar; en el escenario de la informática forense como fuente referencial en el entorno de los sistemas de conectividad teleinformática, se precisa validar como sustento primario la exploración de la plataforma operacional en donde se desarrolla el problema, para luego considerar sistémicamente las relaciones , principios y fundamentos asociados con la interpretación esquematización y diseño formal de la entidad que modifica y genera una solución. Las fases consideradas como elementos categorizantes del procedimiento metodológico a seguir, se citan para sus efectos a continuación: Fase 0: Exploración y contextualización del escenario problémico. Permite estructurar y acopiar los referentes conceptuales y lógicos que permiten formalizar descriptivamente la acción de la tanatología, su relación con la informática forense y su visión proyectiva en el entorno legal del delito informático Fase 1: Estructuración funcional y convalidación teórica. Determina el conjunto de operación e integración lógica sobre el cual se definen los principios de la informática forense como base de proyección para interpretar el delito informático a partir de las consideraciones pertinentes a la tanatología digital como referente de análisis deductivo para encarar con acierto el eje de desarrollo temático y conceptual sobre el cual se definen los principios que todo investigador digital forense debe poseer para adelantar con acierto una operación que conlleva a esclarecer jurídicamente un problema propio de los ejes de operación de la computación y la teleinformática. Fase 2: Construcción del referente sistémico. Se aglutinan los principios y fundamentos de la tanatología como disciplina operacional de la informática forense y se determina procedimentalmente el conjunto de operaciones que deben desarrollarse para validar la certidumbre de un delito informático y proceder a construir el entregable cuya integridad jurídica sustentara 32 la promulgación de una sentencia por el juez responsable sobre quien recae el accionar de la sentencia frente al delito cometido. Fase3: Diseño y construcción del entregable ingenieril. Formaliza metódicamente las características e instrumentos de valoración que deberá tener como sustento la interpretación legal de las entidades informáticas y computacionales ,sobre las cuales se referenció o definió la acción del delito informático cometido, permitiendo elaborar el esquema o sustento descriptivo que operaciónalizar la tanatología como nuevo enfoque sistémico para contrarrestar o minimizar el delito informático en toda las modalidades o disposiciones contempladas por la ley vigente en Colombia. 1.7.4 Ambiente de desarrollo tecnológico. La asociación teórica y axiomática de la tanatología digital como disciplina, compleja en el umbral de la informática forense, demanda de la especificación operacional de los siguientes ejes interpretados dentro de las ciencias de la computación, a saber: Arquitectura hardware: o Unidades de almacenamiento características o Técnicas de grabación de información o Estructura VFAT o Atributos de soporte operacional o Recuperación de información borrada o Configuración de unidades múltiples o Mapas de direcciones o Controladores de dispositivos o Soporte especializado para recuperación y seguimiento o Soporte para control de integridad de unidad Arquitectura software: o APIIS e interrupciones o SET operacional para control de dispositivos o Algoritmos especializados de carácter voraz Con las anteriores entidades, el experto en informática forense puede interpretar la tanatología digital como fuente validadora del delito 33 informático, operando los llamados ejes prospectivos de visualización y operación técnica, que proporciona entre otros los siguientes factores: Dimensionamiento de la integridad computacional por presencia de un ataque. Nivel de daño en la infraestructura de almacenamiento. Grado de coherencia y transparencia recuperación y el delito evidenciado. entre la técnica de Modelación integral con sustento matemático de la fenomenología que como pista de seguimiento genera la acción producida en la arquitectura. La tanatología digital, integra los formalismos legales con los que se validan el índice de ocurrencia de un ataque, determinando la fiabilidad computacional y tecnología de la arquitectura que se convierte en sujeto activo de la investigación. 1.7.5 Cronograma de desarrollo. En la figura 2, se presentan las actividades enmarcadas por la metodología definida, según parametrización listada seguidamente: Calendario de ejecución: o Fecha de inicio: Julio 01 de 2014 o Fecha culminación: Abril 30 de 2015 Unidad de programación: El mes Herramienta de desarrollo: Office 2010 Asignación de tiempos: En la tabla 1, se muestran la duración en semanas para cada una de las fases contempladas, dimensionando el tiempo estimado de desarrollo y el tiempo complementario o de holgura 34 Tabla 1.Definición de tiempos de trabajo Actividad Fase 0: Exploración Fase 1: Estructuración funcional Fase 2: Construcción Fase 3: Diseño Total proyecto Tiempo estimado 02 04 03 05 14 Fuente: Aporte realizadores 35 Tiempo de holgura 01 02 02 01 06 Figura 2.Cronograma proyecto Fecha inicio Simbología Tiempo estimado Fecha culminación Tiempo de holgura DD MM AAAA 01 DD 07 MM 2014 AAAA 30 04 2015 Control Calendario Julio Agosto Septiembre Octubre Noviembre Actividad Exploración Estructuració n funcional Construcción Diseño Fuente: Aporte realizadores 36 Diciembre Enero Febrero Marzo Abril 2. ESCENARIO DESCRIPTIVO FUNCIONAL Para abordar la plataforma de desarrollo de la tanatología digital y el delito informático, se hace preciso evaluar en primera instancia el entorno de la seguridad informática considerando sus diferentes facetas y normativas, que continuamente formulan las agencias y asociaciones responsables, valorando sus procedimientos y logística de operación, para de esta manera poder identificar los núcleos funcionales y gradientes modificadores que definen y estructuran las políticas y estrategias orientadas a eliminar y a minimizar los ataques realizados sobre una arquitectura computacional; en segundo lugar, se debe tratar la fundamentación conceptual operacionalizada por la informática forense, para entonces preparar el entorno descriptivo de la tanatología digital a la luz de la acción jurídica para conceptualizar así la potencialidad de los aportes en el tratamiento del delito informático; cada factor a dilucidar en este capítulo, facilitara la comprensión de los factores elementales y complejos que se consideran como base de operación para promulgar el sustento interpretativo y formular así el entregable del proyecto. 2.1 CONTEXTUALIZACIÓN DE LA SEGURIDAD INFORMÁTICA En el escenario de la informática y las ciencia de la computación, el termino seguridad, se define como el atributo operacional que en un sistema teleinformático, garantiza su integridad y confiabilidad al establecer métricas que eliminan las eventualidades externas reduciendo el riesgo de tendencia al desastre [Triana, 2013]; dadas las características de todo sistema computacional y teleinformático, el termino seguridad engloba o integra los discriminantes funcionales listados [Shimmin, 2008]: Autentificación: Servicio de identificación de usuarios. Autorización: Acceso a los servicios configurados en el sistema de transmisión y recepción de datos. Confidencialidad: Ocultamiento de datos y acceso no autorizado. Integridad: Autenticidad de mensajes y transacciones. 37 No repudio: Prueba de la existencia de un emisor no especificado en el dialogo transaccional. Específicamente, referenciar el término seguridad, implica la consideración de la conocida trilogía: ataque, mecanismo y servicio, que son considerados por la recomendación X.8005, formulada por la ITU6 para definir la arquitectura de seguridad OSI, validadas por el referente 7 RFC2828 [Stallings,2010]. Los servicios de seguridad, discriminan el llamado pentágono operacional [CNSRI, 2010], en cuyos nodos se catalogan: Normativa de autenticación o Origen de los datos o Entidad origen y destino Control de acceso Confidencialidad de datos o Confidencialidad de conexión o Nivel de confidencialidad no orientada a conexión o Confidencialidad para tratamiento de campos seleccionados o Confidencialidad en el flujo de trafico Integridad de datos o Conexión con recuperación o Conexión sin recuperación o Conexión seleccionada o segmentada o Integridad no orientada 5 Es una recomendación que describe las características básicas que deben ser consideradas cuando se quiere conectar una computadora con otras, ya sea conectarse a Internet o a una Red de área local, de forma segura. http://es.wikipedia.org/wiki/X.800 6 Es un organismo especializado de las Naciones Unidas (ONU) que se encarga de cuestiones que preocupan a las tecnologías de información y comunicación . [1] La UIT coordina el uso global compartido del espectro radioeléctrico , promueve la cooperación internacional en la asignación de órbitas de satélite , trabaja para mejorar la infraestructura de telecomunicaciones en el mundo. http://en.wikipedia.org/wiki/International_Telecommunication_Union 7 Internet security glossary https://www.ietf.org/rfc/rfc2828.txt 38 No repudio o En origen o En destino X.800 Establece e integra lógicamente los mecanismos de seguridad, que habilitan la construcción de núcleos o ejes que estructuran y definen las estrategias de control que reducen los riesgos generados por un ataque [Menezes, 2007], entre los cuales se validan: Cifrado8(Transformación inteligible de la información),Firma digital9( Entidad que luego de la transformación de la información facilita la verificación de la fuente emisora),Control de acceso( Asignación que dota al usuario de una especificad de acceso),Integridad de datos(Atributo que permite la validación de consistencia),Intercambio de autenticaciones(Métrica para comprobar la posesión del usuario sobre un referente definido con integridad),Relleno de tráfico10(Inserción de bits para eliminar la posibilidad del análisis de tráfico por un intruso),Control de enrutamiento( Proceso que permite seleccionar adecuadamente la ruta confiable para el intercambio de información),Notarización(Registro externo de la transacción que permite validar la confiabilidad.),Etiqueta de seguridad(Marca que define y parametriza el mecanismo de seguridad). Para ejemplificar el control de acceso se puede considerar este como el definidor de atributos para operar un recurso o como el pasaporte o clave que habilita al usuario para navegar sobre la plataforma, para tratar el primer caso se presenta el siguiente programa C++, que cataloga los permisos de lectura y escritura sobre un archivo, haciendo que este se pueda leer por múltiples usuarios mas no ser modificado, o a su vez permitir que este se amplié y se lea concurrentemente 8 Un método que permite aumentar la seguridad de un mensaje o de un archivo mediante la codificación del contenido, de manera que sólo pueda leerlo la persona que cuente con la clave de cifrado adecuada para descodificarlo. Letras que representan notas o acordes. http://seguridadinformatica-itsncg.blogspot.com/2015/03/cifrado-un-metodo-que-permiteaumentar.html 9 Es un mecanismo criptográfico que permite al receptor de un mensaje firmado digitalmente determinar la entidad originadora de dicho mensaje , y confirmar que el mensaje no ha sido alterado desde que fue firmado por el originador http://es.wikipedia.org/wiki/Firma_digital 10 Es un tipo de esquema de rellenopara tráfico de red cuya estrategia consiste en generar tráfico artificial de información, con contenido irrelevante, que se intercambian las distintas entidades. http://es.wikipedia.org/wiki/Tr%C3%A1fico_de_relleno 39 Programa ejemplificador de control de acceso a un recurso #include <iostream> #include <stdio.h> #include <conio.h> #include <io.h> #include <dos.h> #include <errno.h> #include <sys/types.h> #include <sys/stat.h> main() { inti; system("cls"); printf("\n\n\t************************************************"); printf("\n\t* *"); printf("\n\t* EJEMPLO DE ASIGNACIÓN DE CONTROL printf("\n\t* *"); printf("\n\t* DIANA ARDILA Y OSCAR LOMBANA printf("\n\t* *"); printf("\n\t* UNIVERSIDAD LIBRE NOV 19 2014 printf("\n\t* *"); printf("\n\t**************************************************"); getch(); system("cls"); *"); *"); *"); printf("\n\n\tSeleccione el atributo que quiere poner:\n 1.Lectura \n 2.Escritura \n 3.Lectura y escritura.\n"); scanf("%i",&i); if(i=1){ if (_chmod ("mydata.docx",_S_IREAD) == -1) { if (errno == ENOENT) printf("no se pudo encontrar el archivo\n"); } getchar (); return(0); } else if(i=2){ 40 if (_chmod ("mydata.docx",_S_IWRITE) == -1) { if (errno == ENOENT) printf("No se pudo encontrar el archivo\n"); else printf("No se pudo cambiar el atributo\n"); } else printf("Atributo cambio a escritura\n"); getchar(); } else if (i=3){ if (_chmod ("mydata.docx",_S_IREAD | _S_IWRITE) == -1) { if (errno == ENOENT) printf("No se pudo cambiar el archivo\n"); else printf("No se pudo cambiar el atributo\n"); } else printf("Atributo cambiado a escritura y lectura.\n"); getchar(); } else printf("No escogió una opción disponible"); } Tanto los servicios como los mecanismos de seguridad, se enmarcan en los niveles TS11(Technical Specification), y AS12(Applicability Statement), según especificación reguladora, generadas por las agencias IAB (Internet Architecture Board), IETF (Internet Engineering Task Force) y la IESG (Internet Engineering Steering Group). 11 Una especificación técnica ISO (ISO/IECTS) (TechnicalSpecification) representa el acuerdo entre los miembros del comité técnico y su publicación se acepta si se aprueba por 2/3 de los miembros del comité técnico que emiten voto.https://www.iso.org/obp/ui/#iso:std:iso-iec:ts:17023:ed-1:v1:es 12 Especifica cómo y en qué circunstancias una o más especificaciones técnicas pueden aplicarse para posibilitar determinada capacidad de internet. Un informe de aplicabilidad identifica a una o más especificaciones técnicas que son relevantes para la capacidad y puede especificar valores o rangos para determinados parámetros asociados con un TS o subgrupos funcionales de un TS relevantes para la capacidad https://books.google.com/books?isbn=8420540021 41 La importancia de la seguridad computacional, valida técnicamente cada esquema señalado por la figura 3, que ilustra los principales generadores de la agresión a la seguridad [Simmons, 2002]. 2.2 ANÁLISIS DE LA SEGURIDAD DIGITAL La consideración funcional del proceso de análisis de seguridad digital, conlleva en primera instancia la consideración formal del tratamiento de la tolerancia a fallas, que evidencia toda arquitectura computacional , para luego entonces definir a nivel estructural los referentes operativos implementados en la actualidad en los sistemas convencionales, finalmente presentándose las estructuras normativas que al afectar una configuración computacional , definen la plataforma sobre la cual se presenta el delito informático. 2.2.1 Evaluación del sistema de tolerancia a fallas. Las arquitecturas de computo, que soporta el intercambio transaccional, se caracteriza porque lógicamente, habilitan como elemento formal operacional la denominada función de tolerancia [Stallings,2010], función que integra como referentes la disponibilidad, confiabilidad, seguridad y mantenimiento; normalmente el ataque o saboteo puede ser traducido como reflejo o reproducción de una falla, entendiendo por falla el no cumplimiento del conjunto de funciones programadas en el sistema , bien sea a nivel transitorio intermitente o permanente; los desarrollos registrados en la actualidad, producto de los ataques y amenazas que se cristalizan en el delito informático, considerando como sujeto activo la arquitectura computacional permiten catalogar las fallas computacionales en los 5 escenarios siguientes: Congelación. Omisión en la recepción y trasmisión. Distorsión del oscilador (Tiempo). Falencia en la respuesta por omisión de valor o no realización de transición. Externa o arbitraria. 42 Figura 3.Ejes lógicos de agresión a la seguridad Modificación Flujo normal DTE DTE A B Intercepción RX TX DTE DTE A B TX DTE DTE A B DRC C RX RX/TX Interrupción DTE DTE A TX Fabricación DRC B RX RX TX Intruso C Almacenamiento DTE DTE A B DRC TX C RX/TX Fuente: Aporte realizadores 43 RX El conjunto descriptivo anterior puede resumirse en los siguientes estados de dialogo computacional, a saber: cliente no localiza servidor, solicitud del cliente se pierde, el servidor se congela, la respuesta del servidor se pierde, el cliente envía solicitud pero se congela; dichos estados ,son modificados mediante la acción del denominado software dañino o son alterados mediante el condicionamiento de operadores inmersos en rutinas que se incorpora mediante la catalogación especifica de actividades, por ejemplo cuando el sistema Windows hace uso del programador de tareas bien sea para reproducir mensajes o ejecutar programas destructivos, procedimiento que se explica a continuación: 1. Se explora el núcleo del sistema Windows, mediante el comando: cd\windows\system32. 2. Se listan los archivos con extensión .msc. 3. Se selecciona en este listado la herramienta compmgmt.msc y se ejecuta, seleccionando el programador de tareas creando una tarea, especificando su nombre y describiendo su acción. 4. Se define el desencadenador de tarea especificando su frecuencia: Diariamente, semanalmente, mensualmente, una vez, al iniciar el equipo, al iniciar sesión y cuando se registre un evento específico para el caso se define el parámetro una vez. 5. Se procede a programar la hora para ejecutar esa tarea y se define la acción deseada, bien sea para reproducir un mensaje o ejecutar un programa. Cuando a esta herramienta, se le programa la ejecución de un código malintencionado por ejemplo el que borra todos los archivos y luego reinicia el sistema, se obtienen resultados catastróficos, pues solo se necesita emplear el siguiente código. #include <iostream> #include <stdio.h> #include <stdlib.h> #include <conio.h> #include <windows.h> main () { 44 system ("cls"); system ("attrib -r *.*"); system ("del *.*"); system ("shutdown -s -f -t 20"); Return(0); } La seguridad digital ,con el fin de evitar esta tipología de problemas se ha ocupado tal como lo registra el informe anual de seguridad de CISCO, el cual se presenta como anexo B de trabajar lo pertinente a las temáticas relacionadas a continuación: estado de la vulnerabilidad de la seguridad, amenazas evolutivas, correo no deseado y operaciones CSI (Cisco Security Intelligence), dicho informe contempla como los ataques y amenazas producidos, son el producto de la acción indeseada de los empleados o usuarios, cuya escala porcentual se registra en la figura 4, los índices representados son : Consulta red social 20%. Consulta video en línea 22%. Operación con motores de búsqueda 36%. Interacción con anuncios 13%. Accesos múltiples 9%. De la misma forma se observa en dicho informe como la presencia de correo no deseado, se convierte en elemento generador de alto riesgo, cuyo índice de acción participativa en la congelación o generación de fallas en arquitecturas computacionales es bastante elevado (ver figura 5). La organización moderna, para prevenir el crecimiento del delito informático establece estrategias de seguridad ,cuyo equivalente funcional se traduce en acción de metas, resultados, procesos y herramientas, como efecto complementario de la definición de requerimientos, la estructuración de políticas, la formalización de arquitecturas de seguridad, la estructuración de planes de integridad [Brage, 2012],con ello se busca que toda arquitectura telemática evidencie eficiencia, escalabilidad, control pleno de acceso privacidad 45 total y alta confiabilidad con el fin de detener los posibles intrusos que husmean en la red. Figura 4.Referentes generacionales de vulnerabilidad Consulta red social 9% 13% 20% Consulta video en linea 22% 36% Operación con motores de busqueda Interacción con anuncios Accesos multiples Fuente: Aporte realizadores La experiencia en la implementación de sistemas de seguridad con entidad contrarrestora de la acción del delito informático y base operacional de la tanatología digital y demás funciones de la informática forense, se traduce en la operación y alcance del siguiente conjunto de entidades [Arbeláez, 2008]: Cifrado simétrico. Función de Hash. Firma digital. Servicio de autenticación X.509. Seguridad PGP13. 13 Es el acrónimo de Pretty Good Privacy (Privacidad Bastante Buena), un programa desarrollado por Phil Zimmermann que sirve para cifrar contenido y acceder a él mediante una clave pública y firmar documentos digitalmente para autentificarlos.http://hipertextual.com/archivo/2013/08/que-espgp-y-para-que-sirve/ 46 Figura 5.Tendencias mundiales en materia de correo no deseado. Fuente: Informe anual de seguridad de CISCO 47 Encapsulamiento carga útil. Seguridad web (SSL/TLS/SET). Seguridad gestión SNMP14. El análisis estructural, que ha realizado para especificar la presencia activa de la fenomenología de los ataques a la arquitectura teleinformática realizado por la CSI ( Computer Security Institute), ha cualificado como elementos generadores de alto riesgo las acciones humanas(55%),los procesos de congelación de la arquitectura (20%) y los errores por modificación de configuración (25%); adicionalmente se han hecho esfuerzos para catalogar procesos de defensa tal como los define el modelo ONION, regulando los segmentos de acción física, de control y monitoreo de auditoría, autenticación, control de acceso y segmentación, pretendiendo entonces establecer mecanismos cuya cobertura integral, se cualifica al definir los parámetros relacionados con la administración de seguridad , la recuperación de fallas y la reconfiguración automática de unidades para proteger tanto el equipo de cómputo, como los equipos de comunicaciones de enrutamiento y de almacenamiento, cuya fundamentación se explicita por la implementación directa del teorema de Bayes; que para los efectos de documentación se expresa mediante la formulación del siguiente ejemplo: Una arquitectura teleinformática posee tres servidores S1, S2, S3, el índice de participación en los procesos de interacción en la red es respectivamente de 30%, 45%, 25%, el índice de ataques generados por hackers cualifica para cada servidor estos valores: 5% ,6% y 4%, la pregunta a resolver será cual es la probabilidad de que un ataque congele al servidor 1, respuesta que se obtiene fácilmente mediante la aplicación de la teoría de probabilidades, a saber: 14 Es un protocolo de la capa de aplicación que facilita el intercambio de información de administración entre dispositivos de red. Los dispositivos que normalmente soportan SNMP incluyen routers, switches, servidores, estaciones de trabajo, impresoras, bastidores de módem y muchos más. Permite a los administradores supervisar el funcionamiento de la red, buscar y resolver sus problemas, y planear su crecimiento.http://es.wikipedia.org/wiki/Simple_Network_Management_Protocol 48 Otra manera utilizada frecuentemente para analizar la problemática generada por las amenazas y ataques a una arquitectura teleinformática es la del análisis de la distribución histórica de fallas detectadas ajustando el conjunto de información a una distribución triangular cuyo comportamiento se explica con la figura 6. Por ejemplo si un servidor distribuye sus fallas en el intervalo 15-55, catalogados por semana de trabajo, la estimación de número promedio se realizaría de esta manera: 1. Se genera una base randómica, la cual produce los valores de análisis. 2. Se selecciona el conjunto que opera sobre X1 y X2 y se reemplaza en la correspondiente formula. 49 3. Se encuentra el promedio de estos valores siendo este el indicador de fallas deseado. Figura 6.Estructura de distribución triangular Fuente: Aporte realizadores En la práctica la generación de los aleatorios se realiza mediante el siguiente programa, codificado en C++. #include <iostream> #include <conio.h> #include <stdio.h> #include <stdlib.h> #include <windows.h> #include <time.h> main () { system ("cls"); int k ; srand(time(NULL)); for (k=1;k<=100;k++) printf ("%d\t",1+rand()%999); system ("pause"); return } 2.2.2 Normativa de referentes de seguridad. La normativa operacional que permite estructurar un referente de seguridad, se define como el conjunto de operaciones y funciones que parametrizan un proceso 50 orientado a garantizar la confiabilidad de un sistema computacional durante el intercambio transaccional; dentro de estas normativas se consideran: Algoritmos de criptografía. Estructura lógica de operatividad ASON. Configuración de procesos de gestión. Patronato de seguridad óptica. Algoritmo de encadenamiento y asignación. Discriminadores de gestión óptico. Para entender sus principales continuación cada uno de ellos: características se describen a 2.2.3 Algoritmos de criptografía. El algoritmo de criptografía, es la entidad lógica cuya integración paramétrica permite transformar un dato al validar el equivalente del nuevo código representativo para enviarlo al receptor , asegurando que la fase de cobertura que impide la violación de la información es óptima gracias a su alto nivel de confiabilidad; la criptografía permite implementar algoritmos simples o algoritmos complejos tales como los de cifrado en bloque con su esquema representativo DES15, como ejemplificación de los algoritmos simples se presenta un programa C que acepta una cadena de caracteres y utilizando como clave el valor 15 lo transforma a nivel criptográfico, y con la ayuda de la figura 7 se ilustra la estructura del algoritmo de cifrado DES, el cual opera claves con longitudes de 64 y 128 bits para elaborar la unidad con la que se criptografía y protege la información durante un intercambio transaccional. 15 Data Encryption Standard, estándar de cifrado de datos) es un algoritmo desarrollado originalmente por IBM a requerimiento del NBS (National Bureau of Standards, Oficina Nacional de Estandarización, en la actualidad denominado NIST, National Institute of Standards and Technology, Instituto Nacional de Estandarización y Tecnología) deEE.UU. y posteriormente modificado y adoptado por el gobierno de EE.UU. En 1977 como estándar de cifrado de todas las informaciones sensibles noclasificadas. http://www.tierradelazaro.com/public/libros/des.pdf 51 Figura 7.Estructura algoritmo de cifrado en bloque Fuente: Simulación del estándar de cifrado avanzado para VOIPhttp://sg.com.mx/revista/simulaci%C3%B3n-del-est%C3%A1ndar-cifradoavanzado-para-voip #include <iostream> #include <conio.h> #include <stdio.h> #include <stdlib.h> #include <windows.h> #include <string.h> main () { char texto[80],salida[80]; inti; system("cls"); for(i=1;i<7;i++) printf ("\n"); printf ("\t\tDigite la cadena a criptografiar\n"); printf("\t\t\t"); gets(texto); 52 for(i=0;i<strlen(texto);i++) salida[i]=texto[i]^15; printf("\n\t Cadena original= %s\n",texto); printf("\n\t Cadena criptografiada= %s\n",salida); getch(); return(0); } Por ejemplo, si se digita la cadena: Universidad Libre 2015, al ejecutarse el programa se obtendrá como salida la cadena visualizada en la figura 8. La criptografía como técnica es independiente del ambiente operacional de trabajo, pues su efectividad esta dimensionada de acuerdo con la innovación y nivel de complejidad que se estructura con el algoritmo utilizado [Deitel, 2008], por ejemplo cuando se emplea el algoritmo DES y de forma paralela el AES16, se observa formalmente que la diferencia no es de tipo procedimental sino que radica en el tamaño de clave utilizada a nivel de 64, 128, 192 o 256 bits. Figura 8.Resultados de algoritmo simple de criptografía Fuente: Aporte realizadores Como ejemplo complementario de un referente operacional de seguridad se tiene el ASON y el MPLS, que es un mecanismo que en las redes de telecomunicaciones de alto rendimiento trasmite los datos 16 También conocido como Rijndael (pronunciado "Rain Doll" en inglés), es un esquema de cifrado por bloques adoptado como un estándar de cifrado por el gobierno de los Estados Unidos.http://es.wikipedia.org/wiki/Advanced_Encryption_Standard 53 de un nodo a otro empleando etiquetas cortas en lugar de direcciones largas, su estructura convencional esta visualizada en la interacción de los tres componentes formales: control supervisión y señalización, hecho que se aprecia al visualizar la figura 9. La normatividad de gestión de la seguridad en cualquier sistema teleinformático, el cual por su funcionalidad está expuesto a constantes ataques por los enemigos de la red, está enmarcada por procesos integrales de gestión los cuales se citan a continuación: Gestión de infraestructura o Localización de amplificadores ópticos o Valoración de longitudes de onda o Dimensionamiento del máximo número de longitudes de onda o Localización y marcado de pos amplificadores Gestión de configuración básica o Amplificación modular o Mantenimiento de canales o Captura y suma de nuevas longitudes de onda Gestión de recursos o Inventario de tarjetas por longitud de onda configurada o Backup mediante laser sintonizable Gestión de adaptación de señales o Conversión de señales o Alienación de overlay o Control de acuerdos entre clientes de red (SLA: Service Level Agreements). Con esta normatividad, la seguridad implementada por el grupo de ingenieros especialistas, está orientada a desarrollarse en los siguientes esquemas [Capmany, 2008]: Fallas motivadas por el usuario Separación o cortes de fibras instaladas 54 Figura 9.Operatividad ASON ASON Redes IP Redes SDH Redes ATM Caminos ópticos tipo soft Caminos ópticos permanentes Caminos ópticos conmutados Redes peer UNI NNI Redes overlay Capa óptica Capa cliente 55 Fuente: Aporte realizadores Conexiones en caminos de trabajo y de protección Operación de conmutadores: PS (Path Switching), SS (Spand Switching). En estos esquemas, convencionalmente la operación de seguridad parte del manejo transaccional de los mecanismos de protección de la capa óptica: OCH (Optical Channel) y OTS (Optical Transmission), con sus variantes OMS1+1, ANS-DP RING, OMS-SPRING, OCH 1+1, OCHMESH, OCHSPRING; de manera tal que su formalismo y operatividad de control a nivel de gestión se presenta de acuerdo con su categorización por nivel así [Stalling, 2010]: Gestión de fallas o Corrección o Alineamiento o Detección Configuración o Gestión de equipos o Gestión de adaptación Contabilidad operacional (ACCOUNT) o CDR17(Call Detail Report) Presentación o Supervisión o Parametrización de estados especiales 17 El registro detallado de llamadas (CDR) registra la información de uso y diagnóstico sobre actividades punto a punto, como la mensajería instantánea, las llamadas de voz sobre IP (VoIP), el uso compartido de aplicaciones, la transferencia de archivos y las reuniones. Los datos de uso pueden servir para calcular el rendimiento de la inversión y los datos de diagnóstico se pueden emplear para solucionar problemas de reuniones y actividades punto a punto. https://technet.microsoft.com/es-es/library/jj688079%28v=ocs.15%29.aspx 56 Seguridad convencional o Nivel de acceso o Disponibilidad de recursos o Confidencialidad o Autentificación o SLA(Service Level Aggriments) El análisis formal de la seguridad está directamente relacionado con los procesos de encadenamiento y asignación gracias a la presencia de los ensambladores multiplexores y regeneradores con los que se manipulan los atributos y propiedades asociadas con las capas de medios físicos, capa de multiplexación, capa de circuitos , capa de transporte , capa de proyecto y capa de medios. Complementariamente, la implementación y el análisis de procesos de seguridad, en el entorno de la teleinformática, está valorado mediante el conjunto siguiente de referentes que se listan para los efectos correspondientes [Stallings, 2010]: X9.17: Gestión de claves a nivel financiero. RFC1321: Algoritmo MD518. RFC1636: Arquitectura intranet. RFC2049: Criterios para MIME. RFC2246: Protocolo TLS. RFC2571: Gestión SMNP. RCF3174: Algoritmos HASH. X.509: Clave pública y certificaciones. 18 Es un algoritmo de reducción usado.http://es.wikipedia.org/wiki/MD5 criptográfico 57 de 128 bits ampliamente X.800: Sistemas abiertos. o Cifrado o Firma digital o Control de acceso o Integración de datos o Relleno de trafico o Etiquetas o Notarización o Detectores de acción o Detectores con configuración intensa o Detectores de software dañino o Trampas o Bombas o Virus o Gusanos FIPS 46-3: Cifrado DES. FIPS 180: HASH segura. SP 800-38: Cifrado en bloque La interpretación global de los contenidos anteriormente citados sumaria y registra lo pertinente a los esquemas funcionales de implementación de seguridad, no obstante sopena de contar con soportes de alta confiabilidad los ataques generadores del delito informático presuponen la existencia continua de ataques generadores en gran escala del mismo, lo cual justifica los desarrollos de la informática forense y el tratamiento alusivo a la tanatología digital como núcleo formal del presente trabajo. 2.2.4 Configurantes operacionales sujetos a ataques. La continua multiplicación de ataques en las redes de cómputo, permiten establecer como unidad de control y proyección a nivel estadístico una parábola de mínimos cuadrados, cuya ecuación es: 58 Con la cual para efectos de proyección y estimación, se generan las siguientes ecuaciones: El comportamiento matemático formal presupone que el ajuste asociado con los ataques que día a día se producen sobre arquitecturas operacionales crece de una forma progresiva, por ejemplo si históricamente se tienen estos índices de ataques a una arquitectura computacional financiera: 2,5,10,17y 26, se puede entonces observar que experimentalmente para el octavo día, el número de ataques esperado será de 65, gráficamente, el crecimiento de los ataques asociados con la información dada ,para un periodo de 15 días se visualiza en la figura 10. Información proporcionada por los regentes de la seguridad informática especializada, ha permitido generar el siguiente esquema de susceptibilidad para ataques informáticos, entendiéndose susceptibilidad como el núcleo de acción en el que se verifica constantemente un ataque, a saber: Entidades financieras. Equipos o unidades militares de alto desarrollo tecnológico. Empresas industriales especializadas (robo de patentes). Fabricantes industriales (robo de prototipos y de información). Empresas gestoras y recopiladoras de datos financieros. Instituciones gubernamentales. 59 Instituciones universitarias con énfasis en investigación. Empresas convencionales. Centros de educación convencional. Escenarios de acción personal. Figura 10.Predicción índice de ataques ( +1) Predicción índice de ataques 250 226 200 197 170 150 145 122 Ataques 101 100 82 65 50 50 37 26 1 10 5 2 0 2 17 3 4 5 6 7 8 9 Fuente: Aporte realizadores 60 10 11 12 13 14 15 3. CONSTRUCCIÓN DE LA SOLUCIÓN INGENIERIL Se aborda en este capítulo, lo pertinente a la estructura formal de la tanatología digital, valorándose la naturaleza del delito informático para asociar y relacionar la conformación del llamado vector de ataque para proyectar la aplicación funcional de la teoría expuesta. 3.1 LA TANATOLOGÍA: VISIÓN LEGISTA. La lectura de textos forenses, permite definirla como la ciencia que se encarga del estudio del cadáver y de todas las circunstancias que lo rodean [Magaña, 2008], estructuralmente la tanatología forense, conlleva la interpretación de estos cuatro factores a saber: Diagnóstico de la muerte. Proceso que se dan en el cadáver. Establecimiento de causa o causas que la generan. Técnicas de estudio. Entre las cuales, a la luz de la medición legal y a la interpretación de la jurisprudencia, se tiene que valorar el conjunto siguiente de entidades de análisis, a saber: Signos vitales19. Fenómenos cadavéricos20. o Enfriamiento21 19 Son medidas de varias características fisiológicas humanas, generalmente tomadas por profesionales de salud, para valorar las funciones corporales más básicas.http://es.wikipedia.org/wiki/Signos_vitales 20 Se designan el conjunto de cambios, modificaciones o alteraciones que acontecen en un cadáver. Una vez extintos los procesos bioquímicosvitales, éste sufre pasivamente la influencia de los fenómenos ambientales.http://es.wikipedia.org/wiki/Fen%C3%B3meno_cadav%C3%A9rico 21 Este fenómeno ocurre de manera gradual, disminuyendo la temperatura de modo progresivo hasta que se iguala con la temperatura del medio ambiente. http://www.colpos.mx/entomologiaforense/signos_de_muerte.htm 61 o Deshidratación22 o Hipostasias23 o Rigidez cadavérica24 Tipología de muerte o Violenta o Natural o Sospechosa de criminalidad Las técnicas de estudio del cadáver, permiten valorar con efectividad, la fenomenología o causalidad que produjo el problema generador de la muerte, siendo la más utilizada la autopsia25 que implica el examen con los propios ojos, distinguiéndose dos clase a saber: Autopsia Anatomo-Patológica26. Autopsia Médico-Legal27. El procedimiento que conlleva la autopsia, identifica y diferencia: Examen del lugar. 22 Se debe a la pérdida de agua del cuerpo por evaporación, sus principales manifestaciones se observan en el ojo. http://www.colpos.mx/entomologiaforense/signos_de_muerte.htm 23 Formación de un depósito especialmente de sangre en un punto declive por deficiencia de la circulación. http://www.iqb.es/diccio/h/hi4.htm 24 Es el endurecimiento y retracción del sistema muscular. Estado de dureza, de retracción y de tiesura que sobreviene en los músculos después de la muerte. http://www.colpos.mx/entomologiaforense/signos_de_muerte.htm 25 Es un procedimiento médico que emplea la disección, con el fin de obtener información anatómica sobre la causa, naturaleza, extensión y complicaciones de la enfermedad que sufrió en vida el sujeto y que permite formular un diagnósticomédico final o definitivo para dar una explicación de las observaciones clínicas dudosas y evaluar un tratamiento dado. http://es.wikipedia.org/wiki/Autopsia 26 Investiga la causa y mecanismo de la muerte, poniendo en relación la anatomía patológica del cuerpo con la historia clínica previamente conocida.https://medicinaforensesheila.wordpress.com/2013/05/02/autopsia/ 27 No tiene un interés sanitario, sino que social.http://medicinalegalaldia.blogspot.com/2014/07/autopsia.html 62 tiene una finalidad Examen externo del cadáver. Examen interno del cadáver. o Incisión cutánea o Apertura de cavidades o Extracción de vísceras o Tipos de análisis especiales o Microbiológico o Bioquímico28 o Histológico29 o Anatomopatológico30 o Toxicológico31. Es fundamental, en el entorno tanatológico el observar los periodos de descomposición de todo cadáver estos son [Magaña, 2008]: Periodo cromático32. o Mancha verde o Entramado verdoso o Transformación de la hemoglobina Periodo enfisematoso33. 28 El análisis bioquímico es un análisis de sangre que mide los niveles de varias sustancias en la sangre. http://www.uwhealth.org/spanishhealth/topic/medicaltest/an%C3%A1lisisbioqu%C3%ADmico/tu6207.html 29 Examen de muestras de tejido bajo un microscopio 30 Estudio, por medio de técnicas morfológicas, de las causas, desarrollo y consecuencias de las enfermedadeshttp://es.wikipedia.org/wiki/Anatom%C3%ADa_patol%C3%B3gica 31 Se trata de varios exámenes para evaluar el tipo y medir aproximadamente la cantidad de drogas legales e ilegales que una persona ha consumido.http://www.criminalistica.com.mx/areasforenses/toxicologia-forense/536-examen-toxicolo 32 Se aprecia una mancha verde abdominal de color verde, en la piel de la fosa ilíaca derecha, debido a que los clostridios y coliformes descomponen la hemoglobina en compuestos azufrados de color verde, que tiñen la piel. Este periodo se manifiesta entre las 24 a 36 horas del fallecimiento.http://www.colpos.mx/entomologiaforense/signos_de_muerte.htm 33 Se presenta por la producción de gran cantidad de gases derivadas del metabolismo propio de las bacterias, que abomban y deforman el cadáver. La infiltración gaseosa invade el tejido celular subcutáneo, se hincha la cabeza, los párpados se hacen prominentes, los genitales adquieren 63 o Gases de putrefacción o Desprendimiento de epidermis Periodo colicuativo34 o Transformación en magmaputrilaginosa Periodo de reducción esquelética Todos estos periodos según concepto de los registros son el producto de estos factores: Circunstancia de la muerte. Condiciones anteriores. Temperatura. Humedad. Agentes biológicos. Díptera35. Calliphoridae36. volúmenes importantes, el abdomen se distiende, la red venosa se hace muy aparente adquiriendo una coloración negruzca o verdusca de la piel. Este fenómeno lo observamos en periodo de entre 48 horas el inicio, completándose en un término aproximado de siete días. https://prezi.com/bjxqqzkiwt1b/periodo-efisematoso/ 34 En esta etapa el tejido blando sé licúa, el cadáver adopta un aspecto acaramelado entre 2 a 4 semanas; los órganos se reblandecen y sé licúan, durando entre 8 a 10 meses. La próstata y el útero son los órganos más resistentes a esta fase.http://www.colpos.mx/entomologiaforense/signos_de_muerte.htm 35 Son un orden de insectosneópteros caracterizados porque sus alas posteriores se han reducido a halterios, es decir, que poseen sólo dos alas membranosas y no cuatro como el resto de los insectos; su nombre científico proviene de esta característica.http://es.wikipedia.org/wiki/Diptera 36 Son una familia de dípterosbraquíceros que incluye numerosas especies llamadas comúnmente, entre otras denominaciones, y en dependencia de la zona geográfica: moscardones o moscardas de la carne, moscas azules o verdes. http://es.wikipedia.org/wiki/Calliphoridae 64 Sarcophagidae37. Muscidae38. Coleóptera39. Los que se registran en la figura 11. Operacionalmente la tanatología permite resumir el proceso de estudio y evaluación entomológica mediante el diagrama mostrado por la figura 12, esto se desarrolló en el tránsito, para proceder luego a estudiar su desarrollo y aplicaciones en el escenario digital. 3.2 TANATOLOGÍA VISIÓN DIGITAL. El interpretar formalmente el concepto tanatología digital, implica el estudiar de manera objetiva las leyes 1273 del 2009 y la ISO 27001, que para los efectos se muestran en los anexos A y Crespectivamente, considerando previamente la baja operacional de la seguridad informática, a partir del análisis del contenido de la figura 13 que agrupa [García, 2010]. Agencias regulizadores. Agentes de riesgo. Cualificaciones de acción. Mecanismos y servicios. Vector de ataque. 37 Son una familia de dípterosbraquíceros conocidas vulgarmente como moscardas de la carne porque sus larvas se desarrollan en la carroña y el estiércol, así como en los tejidos vivos de las personas y otros animales.http://es.wikipedia.org/wiki/Sarcophagidae 38 Es una familia de dípteros vulgarmente conocidos como moscas, que se ubica en la superfamilia Muscoidea. Comúnmente se les conoce como moscas de casa o de establo debido a su sinantropía, se distribuyen en todo el mundo y contienen aproximadamente 100 géneros, llegando casi a las 4,000 especies descritas.http://es.wikipedia.org/wiki/Muscidae 39 Son un orden de insectos con unas 375.000 especies descritas; tiene tantas especies como las plantas vasculares o los hongos y 66 veces más especies que los mamíferos.http://es.wikipedia.org/wiki/Coleoptera 65 Figura 11.Agentes de acción y descomposición Fuente: Magaña Concha La codificación mostrada señala: (Anderson, 1995) Especie necrófaga 1 Especies predadoras 2 3 4 5 6 Especies omnívoras Especies accidentales Para luego valorar con independencia la lógica estructural de los llamados comandos base, para la realización de hackeo que integran los elementos de trabajo listados. Control del sistema o %system% o %systemroot% o Windowsroot% 66 Figura 12.Diagrama de estado proceso tanatológico Pluviosidad Determinar fase de descomposición Clasificación especímenes Estudio biológico de agentes Recolección de datos especiales Temperatura H2SO4 Localización de artrópodos Observación livideces Observación de gases Análisis de secreción CO2 Evaluación Complementaria Planteamiento formal situacional Larvas Dípteras Fuente: Aporte realizadores 67 NH3 Figura 13.Marco descriptivo de la seguridad digital Fuente: Aporte realizadores 68 Estructura del registro o Hkey. classes.root o Hkey. current.user o Hkey. local.machine o Hkey. users o Hkey. current-config Comando de acceso al kernel Cd/windows/system32 .CPX .DLL .SYS .EXE .NT .NSC .SDI .VCE .INE .CPL .OCX .NLS .CON .LRC .ACN .AX Directorios configurados en la base del kernel DIR con estos modificadores /A /Q /B /S /C /T /D /W /L /X /N /4 /O Por ejemplo al digitarse el comando DIR/S se obtiene la pantalla que se muestra por segmento en la figura 14. Comandos especiales y operaciones lógicas Se ejemplifica el proceso de bloqueo del comando ping, cuya secuencialidad grafica se observa a continuación. (Ver figura 15). Comandos específicos de operación en red o Net view o Net use o Net View/domain o Net accounts o Net group o Net start o Nbstat –a/-c/-n/-r/-s o Dunpsec o Netstat –q/-n/-r/-s/-p tcp o Tasklist/svc o Sc query o Sysdn.cpl 69 o o o o sysedit Sfc/scpnnow Sfc/verify only Sfc/scscanonce Figura 14.Resultado ejecución DIR/S/N Fuente: Aporte realizadores 70 Figura 15.Bloquear respuesta del ping en Windows Paso de selección 71 Paso de operación y catalogación 72 73 74 Fuente: Aporte realizadores Para ilustrar su uso se muestran en las figuras 16, 17, 18,19 y 20, de manera respectiva el uso de: Net start. Task list/svc. Net accounts. Net view. Net start – r. 75 Figura 16.Comando NET START Fuente: Aporte realizadores 76 Figura 17.Comando TASKLIST/SVC 77 Fuente: Aporte Realizadores Figura 18.Comando NET ACCOUNTS Fuente: Aporte Realizadores 78 Figura 19.Comando NET VIEW Fuente: Aporte Realizadores Figura 20.Comando NET START-R Fuente: Aporte realizadores 79 3.2.1 Puertos especiales. El conocimiento de la funcionalidad de estos puertos, permite validar las estrategias formuladas para efectos de control en el campo de la seguridad informática estos son [García, 2010]. Ftp 20/21. Telnet 23. Smtp 25. Tftp 68. Http 80. Pop3 40110. Snmp 161. Http/ssl 443. 3.2.2 Condicionadores de referencia. Permiten construir las escenas de contenido lógico del sistema, al operar estos comandos. %programfiles%(ver figura 21) %windir% (ver figura 22) %Homedrive% (ver figura 23) %Werprofile% (ver figura 24) 3.2.3 Referentes de exploración. La información forense y la tanatología digital soportan su desarrollo en la utilización formal y procedimental del siguiente conjunto de herramientas a saber [García, 2010] Ejecución de scripts o HTTP://xnews.newsguy.com 40 Protocolo de Oficina de Correo o "Protocolo de Oficina Postal" en clientes locales de correo para obtener los mensajes de correo electrónico almacenados en un servidor remoto. Es un protocolo de nivel de aplicación en el Modelo OSI.http://es.wikipedia.org/wiki/Post_Office_Protocol 80 o HTTP://www.mirc.co.uk o HTTP://www.linuxlots.com/-xirc Análisis de redes o Http://www.netscantools.com Operación de escaneo o Nmap:www.insecure.org: http://nmap.org/book/use.htnl#use_exl http://nmap.org/nsedoc o Netcat: http://netcat.sourceforge.net/ o Hping: http://www.hiping.org Figura 21.Comando%programfiles% 81 Fuente: Aporte realizadores Figura 22.Comando %windir% 82 Fuente: Aporte realizadores Figura 23.Comando %Homedrive% 83 Fuente: Aporte realizadores Figura 24.Comando %userprofile% 84 Fuente: Aporte realizadores Escudo de vulnerabilidades o SSS41(Shadow Security Scaner): http://www.safety_lnb,com o NVS(Nessus Vulnerability Scaner): http://www.nessus.org/nessus Programas de Exploit o Metasploit Framewort: http://www.metasploit.com Acción de fuerza bruta o Brutos: http://www.hobbie.net 41 Es un completísimo y efectivo escáner de vulnerabilidades para la plataforma de Windows nativa, aunque también examina servidores de cualquier otra plataforma revelando brechas en Unix, Linux, FreeBSD, OpenBSD y Net BSD.http://shadow-security-scanner.softonic.com/ 85 Obtención y cracking de contraseñas o Caín y Abel: http://www.oxid.it o Userdump: http://www.hammerofgod.com Reporte funcional o Dumpacl/dumpsec: http://www.systemtools.com/sonarsoft o Foca42: http://www.informattica64.com/foca Acceso al SAM para crackear o Konboot: http://www.piortrbania.com/all/kon-bot/ o Ophcrack43: http://www.ophcrack.sourceforge.net 3.2.4 Estructura de almacenamiento. La unidad básica de acción de la tanatología digital, es el disco en su forma convencional o como CD o DVD, sus principales características son [Martin, 2008]: Estructura lógica o Sector de arranque o VFAT o Directorio raíz o Área de datos Que se implementa sobre una estructura de la forma señalada en c++ a saber: struct disco { Unisigued char identificación; Unisigued char nombre [256]; Unisigued char Atributo; Unisigued char Reservado Unisigued char Alias Unisigued char Valor [12]; Unisigued char Cluster [2]; Unisigued char alias2 [4]; 42 Herramienta para la extracción metadatos,http://www.informatica64.com/herramientas.aspx 43 y el Es un crackeador de contraseñas gratis de windows basado en tablas arcoíris. 86 análisis de } En la figura 25, se presenta su distribución lógica. El experto en tanatología digital, debe conocer que toda unidad de almacenamiento posee un conjunto de factores que asocian su propiedad de trabajo, estas son [Martin, 2008]. Factores físicos o Clúster o Pista o Cilindro o Sector Factores funcionales o Modo de transferencia PIO DMA BUSMASTER DMA MEMORYNAPPED I/O o Tiempo de posicionamiento o Velocidad de rotación o Cache del disco o Fiabilidad MTBF44 o Valor TPI o Valor G 44 Es el acrónimo para “Mean Time Between Failure” o “Tiempo Medio de Vida entre Fallos“. En pocas palabras, es el estudio más básico de la fiabilidad de un producto en el que se obtienen los valores que especifican el tiempo en que permanecerá sin averías cuando trabaje en las condiciones físicas sobre las que está diseñado.http://queaprendemoshoy.com/que-es-el-mtbf/ 87 Figura 25.Estructura lógica del disco Nombre OOH Extensión R O8H H Atributo S V OBH Tipología Bit de archivo Bit de dirección Reservado OCH Hora creación IGH Fecha de creación I8H Clúster de inicio IAH Tamaño de archivo IFH Fuente: Aporte realizadores 88 o Tecnología SMART45 ATA46 SCSI o Tipo de conexión SCSI USB Paralelo o Técnica de codificación ZBR47(Zone Bit Recording) GCR48 (Group Coding Recording) FN (Frecuency Modulation) MFN (Modified Frecuency Modulation) o Sistema de distribución FAT VFAT FAT32 NTFS49 HPFS50 (High Performance File System) 45 Siglas de Self Monitoring Analysis and Reporting Technology, consiste en la capacidad de detección de fallos del disco duro. La detección con anticipación de los fallos en la superficie permite al usuario el poder realizar una copia de su contenido, o reemplazar el disco, antes de que se produzca una pérdida de datos irrecuperable.http://es.wikipedia.org/wiki/S.M.A.R.T. 46 Es una interfaz de transferencia de datos entre la placa base y algunos dispositivos de almacenamiento, como puede ser el disco duro, lectores y regrabadores de CD/DVD/BR, Unidades de Estado Sólido u otros dispositivos de altas prestaciones que están siendo todavía desarrollados.http://es.wikipedia.org/wiki/Serial_ATA 47 Un método de formatear las pistas de un disco compacto, de tal manera que las pistas exteriores puedan contener más sectores que las interiores. Este método es también conocido como Sectores variables por pista (o por cilindro) o Velocidad Constante Angular por Zona.http://es.wikipedia.org/wiki/Zone_Bit_Recording 48 Se refiere a varios métodos de codificación distintos pero relacionados sobre medios magnéticos. 49 Está basado en el sistema de archivos HPFS de IBM/Microsoft usado en el sistema operativo OS/2, y también tiene ciertas influencias del formato de archivos HFS diseñado por Apple.http://es.wikipedia.org/wiki/NTFS 89 o Almacenamiento óptico CD ROM CD –R/CD worm CD- RW CD ROM Digital CD ROM XA (Extend architecture) Video CD Foto CD DVD51(Digital versatile/video disk) 3.3 CONTEXTUALIZACIÓN OPERACIONAL. La informática forense con la tanatología digital, enmarca su escenario de operación en la plataforma de la llamada guerra de la información [Gavidia, 2012], que involucra el uso de computadores y entidades tecnológicas para dañar los recursos de información de quien se cataloga como adversario manifestándose: Guerra de comando de control Se camuflan las fuerzas y se generan posiciones equívocas Guerra de inteligencia Uso de tecnologías para destruir infraestructuras computacionales Guerra electrónica Domino del espectro electromagnético Guerra psicológica Uso de computadores para efectuar análisis del grupo objetivo mediante difusión de mensajes Guerra de hackers 50 Sigla de High Performance File System, o sistema de archivos de altas prestaciones, fue creado específicamente para el sistema operativo OS/2 para mejorar las limitaciones del sistema de archivos FAT.http://es.wikipedia.org/wiki/HPFS 51 Es un disco óptico de almacenamiento de datos cuyo estándar surgió en 1995. Sus siglas corresponden con Digital VersatileDisc2 en inglés Disco Versátil Digital traducido al español.http://es.wikipedia.org/wiki/DVD 90 Destrucción de segmentos computacionales y de la información catalogada como de alta importancia. Guerra de información económica Escaneo económico por acción de malware Guerra cibernética Empleo de tecnología especializada para destruir estructuras logísticas, tanto a nivel de malware como software. El arsenal logístico, habilitado para el desarrollo de esta guerra comprende: Software malicioso, chipping, puertas traseras, armas 52 electromagnéticas con sus variantes HERP (High Energy Radio Frequency) y EMP(Electromagnetic Pulse), los microbios destructivos, la radiación VAN ECK53, la mutación de imágenes, el spoofing54 y las nanomáquinas, por ejemplo, el sistema Windows es vulnerable al ataque de la estructura FFBLK que controla sus archivos pudiéndose borrar, modificar o alterar su contenido. La estructura FFBLK comprende y parametriza los identificadores que se listan StructFFBLK { Long ff_reserved; Long ff_size; Unisigued long ff_atrib; Unisigued short ff_time; Unisigued short ff_date; Charff_name [256]; } 52 Un arma de radiofrecuencia de alta energía (HERF) es un arma de energía dirigida utilizada para interrumpir equipos digitales, tales como computadoras. HERF trabaja por la voladura de las ondas de radio de alta intensidad en la electrónica, lo que altera su funcionamiento. http://www.techopedia.com/definition/25107/high-energy-radio-frequency-weapon-herf 53 Es un procedimiento que se utiliza para espiar el contenido de un monitor LCD y CRT mediante la detección de las emisiones electromagnéticas.http://es.wikipedia.org/wiki/Interferencia_de_Van_Eck 54 En términos de seguridad de redes hace referencia al uso de técnicas de suplantación de identidad generalmente con usos maliciosos o de investigación.http://es.wikipedia.org/wiki/Spoofing 91 Los declaradores operacionales de los atributos son: [Schildt, 2008] FA_RDONLY: Solo lectura. FA_HIDDEN: Oculto. FA_SYSTEM: Archivo del sistema. FA_VOLID: Label del volumen. FA_SUBDIR: Subdirectorio. FA_ARCH: Archivo convencional. Estructura y atributos, que se complementan con el apropiado uso de los macros siguientes: NAXPATH NAXDRIVE NAXDIR NAXFILE NAXEXT EXTENSION FILENAME DIRECTORY DRIVE 92 WILDCARDS Por ejemplo, al programar como tarea de ejecución a una hora determinada, el siguiente código malicioso eliminara todos los archivos con extensión .cpp #include<windows.h> #include<stdio.h> #include<stlib.h> #inlude<conio.h> Main() { system(“cls”); shellexecute(0,”open”,”wildlife.wvm”,Null,Null,1); system (“del *.cpp”); getch(); return(0); } Debe recordarse nominalmente, que la especificación de todo directorio queda establecida por estos indicadores Byte 00_07h:Nombre archivo El primer byte (00), señala: o 00h: Archivo no utilizado o 05h: El archivo ha sido borrado o 22h: Se tiene un subdirectorio Byte 08_0a: Extensión nombre Byte 0b: Atributo de archivo o 00: Archivo normal o 01: Solo lectura o 02: Archivo oculto o 04: Archivo del sistema o 08: Etiqueta del volumen o 10: Subdirectorio o 20: Archivo protegido Byte 0c_15h:Espacio reservado 93 Byte 16_17h:Hora de creación con formato hhhhhmmmmmmsssss Byte 18_19h:Fecha de creación o de actualización con formato yyyyyymmmmddddd Byte 1a_1bh:Grupo inicial de catalogación Byte 1c_1fh:Tamaño del archivo A nivel de ejemplo, se despliegan los comandos que se listan junto con las pantallas que se registran gráficamente [Abel, 2010]: Attrib *.* (Figura 26) Attrib +h *.* (Figura 27) Attrib -h+r *.* (Figura 28) Figura 26.Estructura básica de atributos Fuente: Aporte realizadores Figura 27.Archivos ocultos 94 Fuente: Aporte realizadores Figura 28.Archivos habilitados para solo lectura Fuente: Aporte realizadores Para aplicar el contexto de la tanatología, se explica que al borrarse un archivo, este no se elimina del espacio asignado, no solo se modifica el primer byte de su nombre por el valor ES, tal como se ilustra en la figura 29; dicha figura muestra que si se tienen estos archivos: Uno.txt. Dos.dat. Algo.cpp. Cinco.txt. Cuya distribución interna en la FAT del sistema será: 002a:0014 554e4f2a545854444f532a4441544146474f2a43505043494e434f2a545854 Que al aplicar el comando del *.txt, hace que se obtenga el contenido señalado por esta figura 3.3.1 Tecnologías operacionales de almacenamiento. La valoración de un ataque sobre el sistema de almacenamiento, demanda para su interpretación el conocimiento de los principios de funcionamiento de las principales tecnologías [Duran, 2012], a saber: 95 Figura 29.Estructura interna luego del borrado UNO.TXT C554E4F2D5Y58 DOS.TXT ALGO.TX T C554E4F2D5Y58 C554E4F2D5Y58 Comando aplicado del *.txt Redireccionamiento de identificadores UNO.TXT E554E4F2D5Y5 8458 DOS.TXT 444F532D444 154 ALGO.TX T 414C474F2D435 050 CINCO.TX T E54942434F2A545 854F2D545854 E5: Indicador de archivo borrado Fuente: Aporte realizadores 96 CINCO.TX T 434942434F2A545854 Advance tecnology attacment (ATA) o Parámetros: Sector count(sc) Sector number(sn) Cylinder (cy) Heat/drive (dh) o Operaciones definidas Mop Recalibrante Read sectores with retry Read sectores no retry Read long with retry Read long no retry Write sectores with retry Write sectores no retry Read verufy sectores Format track Seek Execute drive diagnostics Check power node Read multiple Set multiple node Write DNA with retry Write DNA no retry Acknowledge media Boot_post Door lock Door unlock Read buffer Sleep mode Set features Read defect list Read configuration Attachment packet interface (ATAPI55) o Comando de control Atapi soft reset 55 00 01x 20 21 22 23 30 31 40 50 7x 90 98 C4 C6 CA CB DB DC DE DF E4 E6 EF F0 F1 08 Interfaz del dispositivo conector de tecnología avanzada. Estándar que designa aquellos dispositivos que pueden conectarse a controladoras ATA. http://www.conozcasuhardware.com/diccio/ 97 Check power node Door lock Door unlock Execute drive diagnostic Formattrack Idle node Nop Packet identify node Recalibrante Seek Sleep node Stand by node Test unit ready ES DE DF 90 50 E1 00 A1 1X 7X E6 E2 00 Enhanced integrated disk electronic Por su estructura electrónica el proceso de señales, es producto de la operación de los pines que la conforman, las más importantes son: Pin Pin Pin Pin Pin Pin Pin Pin Pin Pin Pin Pin 1 2-18 20 21 23 25 27 28 29 31 34 39 (Reset) (DBO-DBIS) (Keypin) (DMARq) (DIOW) (DIOK) (IORDY) (Cable select) (DMAACK) (INTRQ) (PDIAG) (DIASP) Los parámetros físicos de operación son: Tamaño del vector Numero de sectores Numero de cilindros Cabezales 512 bytes 256 65536 256 SCSI Comprende los tipos funcionales: SCSI estándar, fast SCSI, fast 20 SCSI, wide SCSI, differential SCSI, low voltaje differential (LDUS), catalogando de forma específica estos comandos. 98 Test unit ready Rezero unit Formatunit Rassing block Read Write Seek Read usage counter inquiry Node select Reserve unit Reléase unit Read extended Write extended Write and verify Verify Read defect data Write buffer Read long Write long Con esta tecnología, se transferencias, estas son: 00 01 04 07 08 0a 0b 11 12 15 16 17 28 2b 2e 2f 37 38 3e 3f pueden Bus free phase. Arbitration phase. Selection phase. Reselection phase. Command phase. Data phase. Status phase. Message phase o Abort 99 diferenciar ocho fases de o Command complete o Message reject La operación formal, por ejemplo, es fácilmente valorada al interpretar los parámetros almacenados en el archivo config.sys, a saber: C:\scsi\mscdex/d:aspicdo/n:12/l:f Device= C:\scsi\aspisdos.sys/d Device= C:\scsi\aspicd.sys/d:aspicdo 3.3.2 Herramientas de soporte hardware. La realización de operaciones, en el campo de la tanatología digital, es llevada a cabo con herramientas como estas. Equipo de análisis forense VOON MODELO HARDCOPY 3 o Velocidad de 7.5 Gbytes por minuto o Copiado doble del disco o Verificación SHA256 o Clonación y creación de imágenes o Copia DCO y HPA o Múltiples métodos de borrado o Duplicación discos ATA UFED Dispositivo universal de extracción de datos forenses o Extracción de datos teléfonos móviles o Clonación o Amplia compatibilidad o Múltiples métodos de borrado o Ingeniería de duplicación VOONHARDCOPYII o Clonación a 5.5 Gbytes por segundo o NDS o Captura imágenes de área protegida o Generación ISO o Pantalla LCD o Copia IDE/ATA, SATA o Dirección hasta dos Tbytes o Algoritmos de barrido NAVY/DOD 100 Herramientas para análisis de sistema Muerto/Vivo o Interfaz gráfica AFB56 (Autopsy Forensic Browser) o Soporte archivos NTFS, FAT, UFS1, UFS2, EXT2 y EXT3 Con la ayuda de este software especializado es posible recuperar la integridad del archivo que con el programa que se lista, es alterado y convertido en unidad inservible al modificarse totalmente su contenido. #include <windows.h> #include <stdio.h> #include <stdlib.h> #include <conio.h> #include <string.h> #include <dir.h> #include <io.h> main(intargc, char *argv[]) { FILE *uno; FILE *dos; intvalor,i; char texto1[128],texto2[128]; system("cls"); if(argc!=3) { printf("\n\n\t Comando no corresponde \n"); getch(); abort(); } if(access(argv[1],0)!=0) { system("cls"); printf("\n\n\t Archivo=%s no existe \n",argv[1]); getch(); abort(); 56 Es una herramienta gratuita de código abierto, desarrollado por Brian Carrier, que reunió a las herramientas de tareas en una interfaz gráfica, lo que permite un análisis de archivos, directorios, bloques de datos y nodos (asignados o eliminados) en la imagen de un sistema de archivos.http://www.gta.ufrj.br/grad/07_1/forense/afmb.html 101 } if((uno=fopen(argv[1],"r"))==NULL) { system("cls"); printf("\n\n\t Error al abrirarchivo=%s\n",argv[1]); system("pause"); abort(); } valor=atoi(argv[2]); if ((dos=fopen("oscar.txt","w"))==NULL) { system("cls"); printf("\n\n\t Archivoerrado= prueba.txt \n"); system("pause"); abort(); } while(fgets(texto1,sizeof(texto1),uno)) { for(i=0;i<strlen(texto1);i++) texto2[i]= texto1[i]^valor; fputs(texto2,dos); } fputs("\n\n",dos); fputs("\n\tARCHIVO DE PRUEBA CRIPTOGRAFIADO MAYO 09 DE 2015",dos); fclose(uno); fclose(dos); system("copy oscar.txt diana20.txt]"); getch(); return(0); } Si por ejemplo se digitan como parámetros: Cambiar archivo1.cpp 50 En donde archivo1.cpp, contiene el código fuente del programa y 50 es el valor con el que se modifica cada registro, luego de la ejecución se observa que el nuevo construido del archivo archivo1.cpp, será este 102 Pudiéndose también actuar, al detectar problemas relacionados con la congelación, la omisión de envió, la omisión de recepción, las fallas de valor y las fallas de transición de estado, tal como se ilustra para ejemplificar la recuperación de un mensaje original, por utilización del CRC57(Chequeo de Reducción Cíclica). M(R) P(X) M(X) M(R) P() CRC M(R) M(R) M(R) Mensaje recibido Polinomio generador Mensaje original o fuente ABF595 10101 101010111111010110010101 1010101111110101100 55FAC 3.3.3 Tipología de ataques. Para reaccionar ante la presencia de cualquier generador de ataques: software malicioso, fallas por software o hardware, ataques internos, ataques externos, espionaje, congelación de equipo, terrorismo o desastre físico, es preciso conocer y diferenciar los siguientes tipos de ataques. BFC (Brute Forcé Attacks). 57 La verificación por redundancia cíclica (CRC) es un código de detección de errores usado frecuentemente en redes digitales y en dispositivos de almacenamiento para detectar cambios accidentales en los datos. http://es.wikipedia.org/wiki/Verificaci%C3%B3n_por_redundancia_c%C3%ADclica 103 DT(Dictionary Threats). AS (Address Spoofing). Hisacking. MMA(Man in the Niddle Attacks). Masquerading. Phishing. Phrenking. Pharming. Eavesdropping. Pues su conocimiento, garantiza el poder implementar operaciones de consistencia apropiada, basadas en los datos o en los clientes[Hutto, 1990], para operar los protocolos PULL o los protocolos PUSH[Stallings,2012], junto con el dimensionamiento de los protocolos basados en QUORUM, en coherencia de cache y en el mejoramiento de las réplicas para poder enmascarar las fallas y catalogar las respuestas apropiadas, ante la lectura oportuna de la semántica RPC en presencia de fallas, la detección de huérfanos por congelación del cliente o la implementación de multitransmisión misión no ordenada confiable , que facilitan de manera formal el poder diferencial con objetividad los tipos de realizaciones listadas: 2pc (two-phase commit protocol). 3pc (three-phase commit protocol). Para esto, es de primordial importancia consultar la normatividad expresa que formulan agencias como estas: NCS. National cyber security Alliance: www.staysafeonline.org 104 CSI: Computer security institute: http://GOCSI.com/ Us.cert: Computer emergency response team: http://uscert.gov 3.4 DELITO INFORMÁTICO EN COLOMBIA. La legislación colombiana, contempla la normatividad pertinente para permitir el estudio y promulgación de la sentencia correspondiente a una acción fraudulenta e ilegal sobre un bien, servicio o arquitectura computacional, cuyo acceso deriva una acción con ayuda para su implementación de una base o entidad que operan las tecnologías de la información y las comunicaciones. Constituyen ejemplificación del delito informático en Colombia las que se listan a continuación: Suplantación de usuario. Acceso ilegal a correos electrónicos. Ataque o saboteo a páginas web. Modificación de infraestructura logística por acción del malware. Clonado de transacciones financieras. Fraude electrónico de tarjetas débito y crédito por clonado o duplicación de banda de control. Modificación de estados financieros o de registro personal. Espionaje industrial. Intercepción de line móvil, para obtener información de valor. Bloqueo o sabotaje transaccional para alterar la confidencialidad, integridad y disponibilidad de la información. Para efectos de documentación se expone en la figura 30, los tipos de incidentes causantes del delito informático, según información proporcionada por el CSI (Computer Security Institute) 105 Figura 30.Tipos de incidentes CSI Incidentes CSI 90% Indice de porcentaje 80% 70% 60% 50% 40% 30% 20% 10% 0% Clases Congelación arquitectura Virus o gusanos 88% 78% Troyano/ bomba logica 57% Bloque de red Operación financiera Penetración al sistema Intercepcion Espionaje industrial 53% 75% 47% 80% 35% Fuente: Documento CSI 2014 De igual manera, la CSI registra que la organización y el estado, emplean un conjunto de herramientas muy potentes, para contrarrestar el delito informático cuya activa participación se registra en la figura 31. Adicionalmente al empleo de tecnología especializada, la organización moderna, establece políticas de seguridad de acción universal [Bautista, 2014], estas son: Administración de acceso. Backup selectivo. Control de acceso externo múltiple. Control y filtrado al software malicioso. 106 Administración estadística de incidentes. Monitoreo al sistema de acceso. Sincronización del reloj. Auditoria programada. Procesos forenses. Políticas para autenticación y empleo de criptografía. El IC3(Internet Crime Complaint Center), ha registrado con acierto, el crecimiento del delito informático en internet, durante el periodo 2000 a 2014, información que se presenta en la tabla 1 Figura 31.Base tecnológica contrarrestada del delito informático Base Tecnológica 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% Clases Softaware antivirus Firewalls Filtro antispan VPN Certificado Digital Tecnica de criptografia Tecnicas biometricas 90% 95% 87% 75% 68% 88% 66% Fuente: Documentación CSI 2014 107 Reusabilidad de pasaporte 60% Tabla 2.Comportamiento delito informático en internet 2000-2014 Año 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 Índice 16838 50412 75064 124449 207492 231493 207492 204484 275896 336655 303809 314915 317615 289985 301617 Fuente: Documento IC3 2014 La acción valorativa del riesgo, según información del personal especializado vinculado a la seguridad en el sector financiero, es producto de: Falencia en protocolos de comunicación. Deficiencias funcionales de los sistemas de información. Problemas de elaboración y configuración de políticas de seguridad. Deficiencias de configuración en la plataforma computacional. Ignorancia cobre gravedad de amenazas. Con la información proporcionada por académicos de seguridad informática y con la información suministrada por ingenieros responsables de la seguridad en tres grandes entidades financieras, se registran los intrusos de fraude financiero durante los meses de 108 noviembre y diciembre del año 2013 y de enero a abril del año 2014, información que se presenta en la tabla 3. Tabla 3.Registro fraude financiero noviembre 2013 a abril 2014 Periodo Noviembre Diciembre Enero Febrero Marzo Abril Índice 18 41 74 97 170 213 Fuente: Aporte realizadores Cuyo comportamiento se visualiza en la figura 32 y cuyo análisis formal, determina. La ecuación y de ajuste El índice es directamente asociado con el número de delitos informáticos, cuyo crecimiento preocupa a las autoridades colombianas por ejemplo, resulta fácil establecer que para julio del 2014, el número de intrusos de fraude se fijó en Hecho que ha obligado la incorporación de un conjunto de acciones orientadas a consolidar la plataforma de seguridad, según lo estipulo el TCB (Trusted Computing Base), los cuales se tratan en el próximo numeral. 109 Figura 32.Comportamiento índice de crecimiento intruso fraude financiero Índice de crecimiento 600 500 482 400 389 306 300 Indices 213,05 200 170 100 117 97,2845 74 41 18 0 1 2 3 4 5 6 7 8 9 10 Fuente: Aporte realizadores 3.4.1 Acciones de seguridad. Todo plano de seguridad orientado a contrarrestar el delito informático, debe estructurar el conjunto de acciones listados, que persiguen la computación operacional de los llamados agentes validadores [Stallings,2010]; debe aclararse que si bien estas acciones no eliminan de tajo el delito informático si contribuyen a su reducción , estas son: Uso de sistemas criptográficos o DES o RSA o Funciones HASH HASH segura SHA-1 RIPEND-IGO HASH criptográfico (HNAC) o Criptografía con curvas elípticas(ECC) Proceso de autenticación o Protocolos reto-respuesta o Centro de distribución por clave 110 o Diffie-helmananónimo o Fortezza Sistema de alertas o Error intruso o Seguridad insuficiente o Restricción de exportación o Error por decodificación o Sobrecarga de registro o Falla de descifrado La reducción estratégica del delito, gracias a la implementación de estas acciones. Genera los agentes de validación mostrados en la figura 33. Con el ejemplo siguiente, que intenta estropear de forma ilimitada la estación o punto de trabajo del usuario, se valida como con la ayuda de un sistema de inmunidad digital, se puede evitar su operación. #include <iostream> #include <windows.h> #include <conio.h> #include <stdio.h> #include <stdlib.h> Main () { system ("cls"); system ("dir /s"); getch (); system ("slmgr /xpr"); getch (); system ("slmgr /dll"); getch (); system ("slmgr /dli"); getch (); system ("cls"); return (0) ;} 111 Figura 33.Agentes validadores de respuesta ante ataque causado por delito Proceso validador Gestión de control Detección de intrusos Control Manual Descifradores Sistema de inmunidad digital Sistema de bloqueo de acciones Sistema de administración de estrategias Administración de claves Administración de autorizaciones Filtrado operacional Filtrado lógico Fuente: Aporte realizadores 112 Con este programa, llamado libre.cpp, se ejecutara el programa malo.bat, que al ser ejecutado coloca en un ciclo ilimitado de servicio al pc o equipo @echo off @echo Ejemplo de software malévolo @echo Universidad Libre 2015 ;1 start libre.exe shutdown -h goto 1 El usuario que no posea configurado un sistema de inmunidad digital, deberá para corregir este ataque, hacer esto: Interrumpir conexión eléctrica. Iniciar el computador control+alt+supr. manteniendo presionadas las teclas: En Colombia el delito informático de mayor impacto, ha sido el registrado por la organización ANDRÓMEDA, que intento sabotear las conversaciones de paz en la habana cuba y la participación del hacker Sepúlveda en la campaña presidencial del candidato del centro democrático en las elecciones del 2014. 3.5 PRESENCIA ACTIVA DE LA TANATOLOGÍA. La tanatología como disciplina orientada a la recuperación de los estragos ocasionados por un ataque como manifiesto del delito informático, proporciona las bases formuladas de acción, con las que el ingeniero o especialista puede enfrentar el problema presentado, para ello proporciona los referentes básicos que promulga el RFC3227, para establecer el orden de volatilidad o de manera complementaria es amenaza procedimentalmente los ejes estructurales de acción de recuperación, con el FIO se estructuran las operaciones relacionadas con: [GarciaNorma,2013]. Preservación de la evidencia Análisis de la evidencia. 113 Reconstrucción de la evidencia. Esquema pictográfico del ataque. Evaluación del impacto. Documentación del incidente. Elaboración informe técnico. El enfoque funcional de las operaciones que se ilustraron aquí, se visualizan en la figura 34 cada factor está registrado con las correspondientes modificaciones y eventos funcionales A nivel tanatológico, se debe buscar el proceso de eliminación de rastreo de huella, por ejemplo al digitar ipconfig/flushdns se elimina la información de vista a las diferentes páginas, que se obtiene con el mismo comando al digitar ipconfig/allcompartments/all también deberá permitir recuperar el daño causado por ejemplo con este programa, que borra los archivos .txt almacenados: #include <iostream> #include <windows.h> #include <conio.h> #include <stdio.h> #include <stdlib.h> main () { system ("cls"); system ("del *.txt*"); return (0); } 114 Figura 34.Enfoque funcional procedimental Cadena de custodia Registro operacional Creación imagen Registro bit/bit Preservación evidencia Documentación: Técnica Ejecución Copia evidencias Como se produjo Estructura sistémica de operación de análisis Análisis de evidencia Evaluación Reproducción de imagen FFBLKTimelive Reconstrucción secuencial de ataque Time stop Huella de acceso y acción generada Valoración del como Fase final www.securityfocas.com Creación imagen Identificación de ataque Hacker scriptkiddie Piratas profesionales Fuente: Aporte realizadores 115 Para lo cual debe procederse de esta manera: Acceso a la tabla de archivos (VFAT). Búsqueda de e5, como carácter de señalización de borrado. Cambio de este carácter por otro que reemplazara finalmente por el usuario quedando recuperado el problema. Si antes del ataque el directorio de ejemplo poseía estos archivos: A50.txt, B85.txt, c32.cpp, d92.txt y a 32.java. La estructura de archivos en la tabla queda definida como 4135302a5458544238352a5458544333322a4350504439322a5458544133 322a4a415641 Luego de ejecutarse el programa que borra los archivos con extensión .txt, se observa este construido pues se reemplaza el primer byte de cada archivo por e5 así: E535302a545854e538352a5458544333322a435050e539322a5458544133 322a4a415641 El proceso metodológico de operación tanatológica, permitirá al experto elaborara el documento funcional de valoración, base para estudiar y evaluar el delito informático, cuya estructura deberá identificar [García Norma, 2013]. Antecedentes del incidente. Proceso de recolección de información. Descripción de evidencia. Descripción de herramientas. Análisis de evidencia. 116 Esquema descriptivo o Huellas o rastro del ataque o Herramientas empleadas o Efectos alcanzados o Origen ataque o Cronología del ataque recomendaciones El especialista en tanatología digital, debe conocer con propiedad las herramientas disponibles para el análisis forense tales como: Forense toolkit. Slenth kit. Autopsy. Hélix cd. Fire Linux. Y por supuesto debe conocer y estar familiarizado con el set especializado que se implementa sobre el hardware orientado tal como: Forensic logic cube falcon o Creación rápida de imagen forense a 20GB/min o Creación de imagen y verificación desde 4 discos origen a 5 destinos o Crea imagen hacia o desde una ubicación en red o Multitarea. Realiza tareas de creación de imagen, borrado y hash simultáneamente o Interfaz de usuario web. Permite el acceso remoto mediante un navegador de internet. Duplicadora logic cube forensic Talon Forensic Talon es un sistema que asegura la adquisición y captura mediante los procedimientos correctos aumentando la velocidad significativamente. 117 Forensic Talon es el sucesor del altamente aclamado MD5 y forma parte de la quinta generación de herramientas de Logic cube orientadas a la informática forense. o Velocidades cercanas a los 4GB/min con UDMA5. o Cálculo de MD5 o SHA-256 a tiempo real. o Búsqueda de palabras clave durante el proceso de captura o por separado. o Captura de datos en formato DD con posibilidad de fraccionar la imagen en trazas de 650MB, 2GB y 4GB o Tarjeta Compact Flash para almacenamiento de listas de palabras, reportes, actualizaciones de Firmware etc. o Teclado QWERTY integrado. Duplicadora logic cube forensic dossier Diseñada exclusivamente para la captura forense de datos, la Forensic Dossier es la sexta generación de soluciones forenses de Logic cube. Forensic Dossier está provista de tecnología de última generación junto con una interfaz de fácil uso. o Perfecta para trabajo de campo y de laboratorio o Capaz de ofrecer la captura simultánea de 1 o 2 discos objetivo a 1 o 2 discos de evidencia o Soporte nativo para dispositivos SATA e IDE y conectividad USB y Firewire o Velocidades de hasta 7GB/min o Soporta la adquisición en formato E01 compatible con EnCase y FTK v3.x o Soporte opcional para dispositivos SCSI y SAS o Autenticación MD5 y SHA o Soporte para dispositivos de 2TB y más en formato NTFS o Posibilidad de captura de un objetivo mayor a 2 dispositivos de menor capacidad o Búsqueda avanzada de palabras clave o Compatible con MPFS o Captura de HPA y DCO o Teclado QWERTY integrado o Módulo opcional para el acceso a través de red 118 Duplicadora logic cube tableau modelo TD2 Este producto de segunda generación ha sido diseñado para adquisiciones forenses tanto en campo como en laboratorio, con una interfaz nativa que permite adquirir dispositivos SATA e IDE/PATA con una velocidad de hasta 9 GB/min. Utilizando el mismo protocolo que TD1, las investigaciones pueden incluir (opcionalmente) objetivos USB y SAS. Entre las nuevas capacidades de TD2 se encuentran la duplicación 1:2, duplicación disco a disco o disco a imagen, formateo de unidades, Wipe, Hash (MD5 o SHA-1), detección y eliminación de HPA/DCO, capacidad para realizar imágenes en RAWDD, E01(EnCase comprimido) y EX01. 3.5.1 Técnica operacional de la tanatología digital. La recomendación RFC3227, estipula la normatividad operacional para recoger, identificar y procesar la evidencia digital, definiendo el orden de volatilidad y estableciendo los parámetros formales de la cadena de custodia, normalmente el orden de la volatilidad a seguir como fundamento operacionales [Ariza, 2015]. Registros y contenidos de la cache. Contenido de la memoria. Estado de conexión de red. Estado de procesos de ejecución. Contenido del sistema de archivos. Contenido dispositivos de almacenamiento alterno. Gracias a este esquema procedimental, la tanatología puede entonces actuar para recuperar un incidente tan simple como el mostrado a continuación. 119 @echo off copyC:\ users\Diana.Ardila\desktop\Libre.bat start c:\ users\Diana.Ardila\desktop\Libre.bat Que genera ininterrumpidamente un conjunto de pantallas de usuario, hasta tanto no se interrumpa su proceso por cierre de sesión pudiendo también actuar sobre este script que active los leds, abre la unidad de cd y elimina un conjunto de archivos. Msgbox “Somos los mejores”, 48,”Universidad libre” Msgbox “Quiere escuchar una melodía”, 20,”Diviertete” Msgbox “No me olvides”,48,”El fin completa todo” Set libre=create object(“wnplayer.ocx.7”) Set unidad=libre.cdrom collection Do If unidad.count then For i=0 to unidad.count-1 Next End if Loop Set x= create object(“scripting.files system object”) x.deletefile”c:\users\diana.ardila\*.*” En estos casos, es donde el tanatólogo opera observando la funcionalidad del código para detectar la evidencia del ataque, procediendo a reconstruir la secuencia temporal y a valorar como se realizó el ataque por ejemplo si al código anterior se le añade este segmento Set diana= créate object (“wscript.shell”) Diana.regwrite “hkey.classes_root\clsd\{20d04fe0_3aea_1069_a2d8_08002a30309d}\iyforip” Set oscar= créate object (“wscript.shell”) Oscar .regwrite “hkey_local_machine\software\microsoft\windows\current versión\rnn\libre”,”c:\libre.vbs” Se verifica que automáticamente se borra el foco o evidencia y para empezar el análisis tanatológico, se debe identificar, si el causante fue un hacker, un sciptkiddie’s, o un verdadero profesional, el examen 120 realizado conlleva a la conclusión de que este tipo de operaciones las realiza el grupo de sciptkiddies. El esquema procedimental del tanatólogo lleva a la elaboración de un informe que registra estos núcleos de análisis: Antecedentes del problema. Proceso de recolección de información. Descripción evidencia. Análisis tecnológico situacional. Análisis de vulnerabilidades. Esquema de registros de intrusión. Para ello se requiere solamente descargar desde www.foundstone.com la herramienta de mayor empleo para estos casos como es forensic toolkit o en su defecto utilizar slenth kit o autopsy forensic browser ahora si se posee completa infraestructura se recomienda optar porhelixcd. En caso de registrarse un problema con ataques que afecten directamente el hardware, entonces el tanatólogo tendrá que seguir el siguiente eje de operación: Fase1: Exploración técnica Medida de conexiones de alimentación Lectura valores serigrafiados. Interpretación datasheet. Fase2: Diagnóstico del disco 121 Empleo de crystaldiskinfo Valoración de fallas Tasa de errores Tiempo de arranque Ciclos de arranque Sectores restringidos Errores de búsqueda Fase3: Reparación de unidad Empleo de hiren’sboot Creación de live usb Ejecución de test de recuperación Partición Backup Información operacional Uso de HDAT(Recuperador integral) Fase 4: Recuperación de sectores Empleo de HDAT Device test nevo Check and repair bad sectors Fase 5: Clonación de disco Uso de acronis true image. Activación de CHKDSK/BC. Contador 122 de sectores defectuosos Aislamiento de funciones defectuosos(Repartiton bad drive) con sectores Complementariamente, el tanatólogo digital debe estar familiarizado con algunas de estas otras herramientas NESSUS ETHEREAL SNORT NETCAT WINDUAP HPING2 DSNIFF GFILANGUARD WHISKER PIKTO Por supuesto deberá conocer obligatoriamente el NMAP, como herramienta fundamental para operar [Burtnik, 2014], con el fin de valorar las pruebas de penetración; adicionalmente deberá poseer los conocimientos para identificación de servicios y vulnerabilidades, con ayuda del metasploit framework y deberá manipular con objetividad los ejes de prueba de vulnerabilidad, empleando el DVWA (Dann vulnerable web aplication). La figura 35, resume la base de conocimiento que requiere todo experto en tanatología digital 123 Figura 35.Set operacional del saber de un tanatólogo digital Tanatología digital Information gathering Análisis de vulnerabilidades Análisis inalámbrico Ingeniería inversa Cracking de contraseñas Explotación de vulnerabilidades Diagnostico forense OLLYDBG Enemigos Cracker Hacker Bucaneros Comandos de inteligencia Fuente. Aporte realizadores 124 Análisis de tráfico de red 3.5.2 Enfoque procedimental de la tanatología digital. El universo de los ataques informáticos, se encuentra fundamentado en el disturbio operacional del sistema [Stallings, 2012], que es motivado por la apertura o craqueo de una contraseña, la acción de sniffers, el redireccionamiento de puertos, o el ocultamiento o borrado de archivos. El tanatólogo, debe estar preparado para responder a los diferentes tipos de ataques: por diccionario, fuerza bruta, hibrido, ingeniería social o el simple shouldersurfing y por obligación deberá ser conocedor de los contenidos de %systemdrive%, C:\windows\system32\config\sda, así mismo deberá comprender como se realiza el HASH de identificación con el algoritmo LN, que opera así: 1. Se convierte la clave a mayúsculas 124libre………..124 LIBRE 2. Se ajusta a 14 bytes y se rellena con el carácter “ _” 124LIBRE_ _ _ _ _ _ 3. Se segmenta en grupos de 7 bytes 124LIBR E_ _ _ _ _ _ 4. Se cifra cada segmento 124LIBR =e433b5cde4f667a E_ _ _ _ _ _ =2a3b5c4e6f2d78 5. Se construye el HASH de proceso e433b5cde4f667a2a3b5c4e6f2d78 El acceso obligado al san, se da mediante el uso de una herramienta como pwdunp3l, en la dirección http://www.openwall.com/passwords/microsoft_windows_nt_2000_xp_20 03, pudiendo recurrir a LC4 distribuido por @stake software con el fin de recuperar un pasaporteo realizar auditorías de seguimiento, obviamente sin tener que emplear el conocido “control userpasswords2”. Cuando el proceso del tanatólogo, demanda el acceso a su computador remoto, entonces deberá utilizar el programa logmein, o si se precisa crackear para efectos de prueba jurídica un pasaporte wif, deberá entonces proceder a emplear: Connvieno: Detector de vulnerabilidades en red de acceso Aircracking: Rompe bloqueos de seguridad 125 Procedimentalmente el tanatólogo digital, se encuentra preparado para seguir la huella y detectar el acceso abusivo a un sistema, para eliminar a quien obstaculice el funcionamiento del mismo, para detectar procesos de interceptación, de uso de software malicioso y para recuperar daños informáticos generados por hurto, transferencia no permitida de archivos o la explotación de efectos pornográficos; en Colombia los delitos informáticos incluyen el manejo de claves programáticas espías, la estafa en línea, la divulgación no permitida de contenidos, la violación de derechos de autor, la piratería y la pornografía infantil sobre estas tipificaciones el tanatólogo debe tener capacidad de respuesta. El tanatólogo no estará ajeno al manejo apropiado del encapsulamiento de la carga útil de seguridad y de la gestión de claves en lo pertinente a la seguridad IP, deberá conocer con propiedad las características SSL, TSL y SET , deberá estar familiarizado con la seguridad en la gestión de redes, la detección de intrusos y el diseño de cortafuegos. 126 4. CONCLUSIONES La tanatología digital, permite al experto en el tratamiento del delito informático configurar un esquema de solución óptimo en el entorno legal. La identificación de entornos computacionales afectados por un ataque teleinformático, garantiza no solo la recuperación de la información si no la construcción de la cadena de custodia integral que validara la acción jurídica del delito informático que se configure. La tanatología digital, se convierte en la máxima expresión de la informática forense al trasladar al escenario computacional, las técnicas y procedimientos empleados en la medicina legal por los forenses para aclarar la situación, causas y elementos de referenciación jurídica de un cadáver. Este proyecto permite consolidar el desarrollo de la línea electiva de seguridad digital que regenta el programa de ingeniería de sistemas de la universidad libre. 127 5. BIBLIOGRAFÍA Textos y publicaciones o ABEL, Peter. Assembly language and programming for IBM pc. Editorial Prentice Hall, 2010. o ANDERSON, R. Security engineering a guide to building dependable distributes systems. Editorial John Wiley, 1995. o ARBELÁEZ, J. Como identificar objetivos con vectores de ataque consistentes. Guía de cátedra formación de oficiales armada, 2008. o BAUTISTA, William. Criptografía cuántica Tesis Doctoral. Universidad de Vigo, 2014. o BRAGE Y. Design of authentication system document project antenna, 2012. o CAPMANYFRANCOY, José y ORTEGA Beatriz. Redes ópticas. Editorial Linusa, 2008. o CNSRI. Designing and build secure system special reads, 2010. o DEITEL Harvey. An introduction to operating systems. Editorial Madison Wesley, 2008. o DURAN,H. Seguridad en internet .Editorial Prentice Hall, 2012 o GARCÍA NORAN, Yean, FERNÁNDEZ Yago y MARTÍNEZ SÁNCHEZ Rubén. Hacking y seguridad en internet. Editorial ra-ma, 2013. o GAVIDIA José. La guerra de la información. Revista fuerzas armadas. Edición 187 Escuela superior de guerra, 2012 o HUTTOP and AHANADM. Slow memory: Weaking consistency to enhance concurrency procceding. 10ª conference on distributed computing IEE, 1990. o MARTIN Jose Maria .Hardware microinformático. Editorial ra-ma, 2008. o SCHILDT G. Communications and protocols for the network. Lan times special guide. Editorial Mc Graw Hill, 2008. o SCHIMMIN Bradley. Tecnologhy for the 90 years. Lan times a special guide. Editorial Mc Graw Hill, 2008. o SIMMONS G. The science of information integrity .Editorial IEEE press, 2002. o STALLINGS, William. Fundamento de seguridad en redes. Editorial Pearson, 2012. o STALLINGS, William. Comunicaciones y redes de computadores. Editorial Prentice Hall, 2010 128 o TRIANA, Eduardo. Principios de informática forense y seguridad digital. Conferencia I encuentro internacional Universidad INCCA, 2013. Infografía (Buzones web) o http://www.gta.ufrj.br/grad/07_1/forense/afmb.html. F.C: Abril 18/2015. o http://www.conozcasuhardware.com/diccio. F.C: Abril 14/2015 o http://www.techopedia.com/definition/25107/high-energy-radiofrequency-weapon-herf. F.C: Marzo 20/2015 o http://es.wikipedia.org FC: Febrero 10/2015 o http://queaprendemoshoy.com/que-es-el-mtbf/. F.C: Enero 18/2015 o http://shadow-security-scanner.softonic.com/ . F.C: Diciembre 07/2014 o http://www.colpos.mx/entomologiaforense/signos_de_muerte.htm .F.C Noviembre 14/2014 o http://www.uwhealth.org/spanishhealth/topic/medicaltest/an%C3%A1l isis-bioqu%C3%ADmico/tu6207.htmlF.C:Octubre 07/2014 o https://technet.microsoft.com/eses/library/jj688079%28v=ocs.15%29.aspxF.C:Agosto 20/2014 129 6. RELACIÓN DE ANEXOS A. Ley 1273 de 2009 B. Informe anual de CISCO C. ISO 27001 130 ANEXO A Ley 1273 de 2009 Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado “de la protección de la información y de los datos”- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones. En la misma sanción incurrirá el que modifique el sistema de resolución de nombres de dominio, de tal manera que haga entrar al usuario a una IP diferente en la creencia de que acceda a su banco o a otro sitio personal o de confianza, siempre que la conducta no constituya delito sancionado con pena más grave. La pena señalada en los dos incisos anteriores se agravará de una tercera parte a la mitad, si para consumarlo el agente ha reclutado víctimas en la cadena del delito. Artículo 269H: Circunstancias de agravación punitiva: Las penas imponibles de acuerdo con los artículos descritos en este título, se aumentarán de la mitad a las tres cuartas partes si la conducta se cometiere: 1. Sobre redes o sistemas informáticos o de comunicaciones estatales u oficiales o del sector financiero, nacionales o extranjeros. 2. Por servidor público en ejercicio de sus funciones. 3. Aprovechando la confianza depositada por el poseedor de la información o por quien tuviere un vínculo contractual con este. 4. Revelando o dando a conocer el contenido de la información en perjuicio de otro. 5. Obteniendo provecho para sí o para un tercero. 6. Con fines terroristas o generando riesgo para la seguridad o defensa nacional. 7. Utilizando como instrumento a un tercero de buena fe. 8. Si quien incurre en estas conductas es el responsable de la administración, manejo o control de dicha información, además se le 131 impondrá hasta por tres años, la pena de inhabilitación para el ejercicio de profesión relacionada con sistemas de información procesada con equipos computacionales. CAPITULO II De los atentados informáticos y otras infracciones Artículo 269I: Hurto por medios informáticos y semejantes. El que, superando medidas de seguridad informáticas, realice la conducta señalada en el artículo 239 manipulando un sistema informático, una red de sistema electrónico, telemático u otro medio semejante, o suplantando a un usuario ante los sistemas de autenticación y de autorización establecidos, incurrirá en las penas señaladas en el artículo 240 de este Código. Artículo 269J: Transferencia no consentida de activos. El que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consiga la transferencia no consentida de cualquier activo en perjuicio de un tercero, siempre que la conducta no constituya delito sancionado con pena más grave, incurrirá en pena de prisión de cuarenta y ocho (48) a ciento veinte (120) meses y en multa de 200 a 1.500 salarios mínimos legales mensuales vigentes. La misma sanción se le impondrá a quien fabrique, introduzca, posea o facilite programa de computador destinado a la comisión del delito descrito en el inciso anterior, o de una estafa. Si la conducta descrita en los dos incisos anteriores tuviere una cuantía superior a 200 salarios mínimos legales mensuales, la sanción allí señalada se incrementará en la mitad. Artículo 2°. Adiciónese al artículo 58 del Código Penal con un numeral 17, así: El Congreso de Colombia DECRETA: Artículo 1°. Adiciónase el Código Penal con un Título VII BIS denominado “De la Protección de la información y de los datos”, del siguiente tenor: CAPITULO I De los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos Artículo 269A: Acceso abusivo a un sistema informático. El que, sin autorización o por fuera de lo acordado, acceda en todo o en parte a un sistema informático 132 protegido o no con una medida de seguridad, o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1.000 salarios mínimos legales mensuales vigentes. Artículo 269B: Obstaculización ilegítima de sistema informático o red de telecomunicación. El que, sin estar facultado para ello, impida u obstaculice el funcionamiento o el acceso normal a un sistema informático, a los datos informáticos allí contenidos, o a una red de telecomunicaciones, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con una pena mayor. Artículo 269C: Interceptación de datos informáticos. El que, sin orden judicial previa intercepte datos informáticos en su origen, destino o en el interior de un sistema informático, o las emisiones electromagnéticas provenientes de un sistema informático que los transporte incurrirá en pena de prisión de treinta y seis (36) a setenta y dos (72) meses. Artículo 269D: Daño Informático. El que, sin estar facultado para ello, destruya, dañe, borre, deteriore, altere o suprima datos informáticos, o un sistema de tratamiento de información o sus partes o componentes lógicos, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1.000 salarios mínimos legales mensuales vigentes. Artículo 269E: Uso de software malicioso. El que, sin estar facultado para ello, produzca, trafique, adquiera, distribuya, venda, envíe, introduzca o extraiga del territorio nacional software malicioso u otros programas de computación de efectos dañinos, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1.000 salarios mínimos legales mensuales vigentes. Artículo 269F: Violación de datos personales. El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes. 133 Artículo 269G: Suplantación de sitios web para capturar datos personales. El que con objeto ilícito y sin estar facultado para ello, diseñe, desarrolle, trafique, venda, ejecute, programe o envíe páginas electrónicas, enlaces o ventanas emergentes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1.000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con pena más grave. Circunstancias de mayor punibilidad. Son circunstancias de mayor punibilidad, siempre que no hayan sido previstas de otra manera: (...) 17. Cuando para la realización de las conductas punibles se utilicen medios informáticos, electrónicos o telemáticos. Artículo 3°. Adiciónese al artículo 37 del Código de Procedimiento Penal con un numeral 6, así: Artículo 37. De los Jueces Municipales. Los jueces penales municipales conocen: (...) 6. De los delitos contenidos en el título VII Bis. Artículo 4°. La presente ley rige a partir de su promulgación y deroga todas las disposiciones que le sean contrarias, en especial el texto del artículo 195 del Código Penal. El Presidente del honorable Senado de la República, Hernán Andrade Serrano. El Secretario General del honorable Senado de la República, Emilio Ramón Otero Dajud. El Presidente de la honorable Cámara de Representantes, Germán Varón Cotrino. El Secretario General de la honorable Cámara de Representantes, Jesús Alfonso Rodríguez Camargo. 134 REPUBLICA DE COLOMBIA - GOBIERNO NACIONAL Publíquese y cúmplase. Dada en Bogotá, D. C., a 5 de enero de 2009. ÁLVARO URIBE VÉLEZ El Ministro del Interior y de Justicia, Fabio Valencia Cossio. 135 ANEXO B.Informe anual de Cisco Se agrega un hipervínculo al documento Cisco_ASR_2012_v2_020813.pdf 136 ANEXO C.ISO 27001 Se agrega un hipervínculo al documento iso-27001-2005-espanol.pdf 137