Оглавление
Luis Enrique Arellano González. Manual de informática forense II
ACTUALIZACIÓN ON-LINE
LOS AUTORES. Prof. Ing. María Elena Darahuge
Prof. Ing. Luis Enrique Arellano González
PRÓLOGO
PREFACIO
ESTRUCTURA GENERAL
Orientación para la lectura del manual
CAPÍTULO 1. REVISIÓN DE CONCEPTOS
La naturaleza pericial de la Informática forense
Confiar en el cargo y no exigir idoneidad
Extrañas dependencias periciales
Comparación de perfiles profesionales
La Informática forense y sus especialidades
El vocablo “prueba”
Prueba documental clásica
Efectos del desconocimiento
Prueba documental informática
Breve guía de recolección de prueba documental informática
CAPÍTULO 2. LAS MEDIDAS PREVIAS, PRELIMINARES O PRUEBA ANTICIPADA EN INFORMÁTICA FORENSE
Características
Requisitos doctrinarios
Fallo relacionado
CAPÍTULO 3. REVISIÓN JURISPRUDENCIAL. Fallos relacionados
La resolución por Cámara
CAPÍTULO 4. CRITERIOS A TENER EN CUENTA. Las posibilidades de falsificación de mensajes de correo electrónico
Ejemplo de accionar ante eventualidad previsible
El uso de formas alternativas de resolución de conflictos
Tratamiento de residuos informáticos
La basura ciberespacial
Los riesgos de contaminarse
¿Por qué debemos proteger el ciberespacio?
Inserción legal de la problemática
División de responsabilidades y tareas
CAPÍTULO 5. LA CADENA DE CUSTODIA INFORMÁTICO FORENSE
Cadena de custodia vs. privacidad
La cadena de custodia en la práctica informático forense
CAPÍTULO 6. EL CONTRATO ELECTRÓNICO Y LA INFORMÁTICA FORENSE
Características del documento digital
El contrato digital, como forma de celebración contractual a distancia (entre ausentes)
El problema de la jurisdicción en el contrato electrónico internacional
La prueba documental informática en el entorno regional
CAPÍTULO 7. EL ROL DEL PERITO INFORMÁTICO FORENSE EN EL PROCESO JUDICIAL
Lo que se espera
Síntesis
CAPÍTULO 8. PROCEDIMIENTO DE APLICACIÓN GENERAL PARA TELÉFONOS CELULARES. Etapa de identificación, registro, protección, embalaje y traslado. Identificación y registro
Protección del dispositivo. Posibles estados en que se puede encontrar el dispositivo
Embalaje y traslado
Procedimiento para la recolección y protección de información – Elementos a recolectar
Recolección de información de la tarjeta SIM
Dispositivos iPhone
Sistema de archivos
Procedimientos y medidas preventivas para la protección, embalaje y traslado de dispositivos
Consideraciones previas
Procedimiento para iPhone encendido. Pantalla activa: Puede o no tener el código de acceso y la opción auto-bloqueo activa
Aislamiento del dispositivo de la red celular e inalámbrica
Procedimiento: El dispositivo tiene el código de acceso activado y está bloqueado para responder
Procedimiento para la comprobación del estado del código de acceso
Procedimiento para la verificación y secuencia del posible borrado remoto (wipe)
Procedimiento para iPhone apagado. Identificación y registro
Procedimiento para la identificación de dispositivos iPhones liberados (jailbroken)
Etapa de recolección y adquisición de datos. Procedimientos de recolección de datos en dispositivos iPhone e iPad. Consideraciones previas
Método de recolección física
====================================== :: : iBSS for n82ap, Copyright 2009, Apple Inc :: :: BUILD_TAG: iBoot-596.24 :: :: BUILD_STYLE: RELEASE :: :: USB_SERIAL_NUMBER: CPID:8900 CPRV:30 CPFM:03 SCEP:05 BDID:04 ECID:000003293C113D76 IBFL:00 :: ======================================= Entering recovery mode, starting command prompt ] printenv. build-style = “RELEASE” build-version = “iBoot-596.24” config_board = “n82ap” loadaddr = “0x9000000” boot-command = “fsboot” bootdelay = “0” auto-boot = “true” idle-off = “true” boot-device = “nand0” boot-partition = “0” boot-path = “/System/Library/Caches/com.apple.kernelcaches/kernelcache.s5l8900x” display-color-space = “RGB888” display-timing = “optC” framebuffer = “0xfd00000” secure-boot = “0x1”
Método de recolección lógica
Consideraciones previas a la recolección
Etapa de análisis de datos. Análisis de la primera partición del sistema de archivo de iPhone (liberado) Consideraciones previas
Análisis de la información adquirida o recolectada de los dispositivos iPhone. Procedimiento para la conversión de los archivos “.plists”
Procedimiento para el montaje de imágenes “.dmg” en Mac
Procedimiento para el montaje de imágenes “.dmg” en Linux
Procedimiento para el análisis del sistema de archivos de las imágenes montadas en Linux – Recuperación de archivos fragmentados
Otras herramientas que efectúan la búsqueda de fragmentos de archivos
Procedimiento para el análisis del sistema de archivos de las imágenes montadas en Linux – Recuperación de archivos con cadenas de caracteres ASCII
Procedimiento para la creación de una línea de tiempo
Procedimiento para el análisis de las bases de datos de sms con un editor en hexadecimal
Procedimiento para el análisis de la estructura de directorios y partición de almacenamiento de datos en iPhone
Procedimiento para el análisis de las aplicaciones preinstaladas en iPhone
Análisis de la tarjeta SIM del teléfono iPhone
Revisión de conceptos
Dispositivos iPod
Etapa de identificación, registro, protección, embalaje y traslado de dispositivos iPod
Procedimiento con el iPod encendido
Etapa de recolección y adquisición de datos. Procedimientos de recolección de datos en dispositivos iPod
Procedimiento para desactivar el demonio (servicio) de DiskArbitration en el sistema operativo Tiger en la computadora Macintosh
Procedimiento para activar el demonio (servicio) de DiskArbitration en el sistema operativo Tiger en la computadora Macintosh
Procedimiento para desactivar el demonio (servicio) de DiskArbitration en el sistema operativo Leopard en la computadora Macintosh
Procedimiento para activar el demonio (servicio) de DiskArbitration en el sistema operativo Leopard en la computadora Macintosh
Procedimiento para crear la imagen del dispositivo iPod con una estación de trabajo de Informática forense de Macintosh con el comando dc3dd (http://sourceforge.net/projects/dc3dd/)
Procedimiento para crear la imagen del dispositivo iPod con la herramienta de libre disponibilidad, FTK Imager, Forensic Tool Kit (http://accessdata.com/support/adownloads) en una computadora con sistema operativo Windows
Procedimientos sintetizados de recolección en diferentes modelos de iPod
Etapa de análisis de datos. Procedimiento para el análisis del sistema de archivos de iPod
Procedimiento para el análisis del archivo de imagen del dispositivo iPod en una computadora Mac
Síntesis – Lista de control
CAPÍTULO 9. COMPUTADORAS APPLE MACINTOSH. Consideraciones previas
Procedimiento para la preparación de la estación de trabajo de Informática forense Apple Macintosh
Instalación del sistema operativo
Síntesis – Lista de Control
Etapa de recolección y adquisición de datos
Procedimiento de adquisición de una imagen de una computadora Macintosh con una computadora Macintosh
Secuencia de pasos para la preparación de adquisición de la imagen
Procedimiento alternativo para la adquisición o duplicación de la imagen utilizando un CD de Linux en vivo
Síntesis – Lista de control. Efectuar la imagen de Macintosh a Macintosh
Efectuar la imagen de una computadora dubitada Macintosh con un CD/DVD de arranque o inicio en vivo
Procedimiento para determinar la fecha y hora en Macintosh
Procedimiento para la recolección de datos de memoria volátil (128) en un sistema desbloqueado
Procedimiento para la recolección de datos de memoria volátil en un sistema bloqueado
Síntesis – Lista de control – Descarga de la memoria volátil
Procedimiento para la recolección de datos en el modo de usuario único (Single User Mode)
Etapa de análisis de datos. Procedimiento para el análisis de la información del inicio del sistema operativo y los servicios asociados
Procedimiento para el análisis del sistema de archivos HFS+ de la imagen recolectada
Procedimiento para el análisis de directorios especiales (bundle) en el sistema de archivos HFS+ de la imagen recolectada
Procedimiento para el análisis de archivos de configuración de red
Procedimiento para el análisis de archivos ocultos
Procedimiento para el análisis de aplicaciones instaladas
Procedimiento para el análisis de espacio de intercambio (swap) y de hibernación
Procedimiento para el análisis de sucesos o registros (logs) del sistema. Consideraciones previas
Procedimiento para el análisis de información de las cuentas de usuarios
Procedimiento para el análisis del directorio de inicio (Home)
Procedimiento para desencriptar la carpeta de inicio del usuario cifrada por el servicio FileVault
Síntesis – Lista de control
Procedimiento para la recuperación de datos del navegador web Safari de la imagen adquirida
Caché del navegador
Íconos de la URL de los sitios (webpageIcons.db)
Archivos plist
Síntesis – Lista de control
Procedimiento para la función del navegador Safari como visor de archivos en el sistema operativo de Microsoft Windows
Ubicación de los archivos plist en el sistema operativo de Microsoft Windows (139)
Procedimiento para la recuperación y análisis de elementos de correo electrónico e iChat de la imagen adquirida
Procedimiento para la recuperación de mensajes del cliente de correo de Microsoft Entourage de Office: Mac 2008 para Mac
Procedimiento para la recuperación y análisis de la libreta de direcciones (Address Book) de la imagen adquirida
Procedimiento para la recuperación y análisis de datos del iChat de la imagen adquirida
Síntesis – Lista de control
Procedimiento para la recuperación y análisis de fotografías de la imagen adquirida
Características de la aplicación iPhoto
Ubicación de los archivos de iPhoto
Síntesis – Lista de control
Procedimiento para la recuperación y análisis de películas y videos de la imagen adquirida. Consideraciones previas
Síntesis – Lista de control
Procedimiento para la recuperación y análisis de archivos del procesador de texto Word y de documentos portables (PDF)
Síntesis – Lista de control
Procedimiento para el análisis del historial de conexiones de dispositivos. Consideraciones previas
Procedimiento para el análisis de conexiones Bluetooth
Procedimiento para el análisis de conexiones VNC
Procedimiento para el análisis de la aplicación Volver a mi Mac (Back to My Mac)
CAPÍTULO 10. ANDROID. Consideraciones previas
Componentes de hardware de los celulares Android
Componentes de software de los celulares Android
Estructura del sistema de archivos en Android
Estructura del encabezado (entrada de directorio)
Tipos de memoria en los dispositivos Android
Sistemas de archivos
Procedimiento para crear un emulador de un dispositivo Android
Etapa de recolección y adquisición de datos. Procedimiento para la duplicación de los dispositivos USB de almacenamiento (UMS - USB Mass Storage) en dispositivos Android
Procedimiento para la recolección lógica de datos en dispositivos Android
I. Comando adb
II. Resguardos
III. Herramienta AFLogical
Procedimiento para la recolección lógica de datos con AFLogical
Productos comerciales para la recolección de datos en Android
Procedimiento para la recolección física de datos. Consideraciones previas
Procedimiento para el acceso como usuario root por medio de las herramientas de software
Procedimiento para el método AFPhysicalde imagen física del disco de las particiones de la memoria Flash NAND de Android (156)
Síntesis – Lista de control
Etapa de análisis de datos
Procedimiento para el análisis del núcleo del sistema operativo Linux
Procedimiento para descargar la memoria RAM en Android (160)
Procedimiento para el análisis de la línea de tiempo en YAFFS2 (161)
Procedimiento para el análisis del sistema de archivos YAFFS2 con las áreas de reserva OOB
Procedimiento para el análisis de fragmentos (carving) del sistema de archivos
Procedimiento para el análisis del sistema de archivos con el comando strings
Procedimiento para el análisis del sistema de archivos con el visor en hexadecimal ncurses-hexedit (162)
Procedimiento para el análisis del contenido de los directorios del sistema de archivos de Android
Procedimiento para la creación de la línea de tiempo (163) en el sistema de archivos FAT de la tarjeta SD
Procedimiento para el análisis del sistema de archivos FAT de la tarjeta SD
Procedimiento para el análisis de las aplicaciones en Android
Aplicación de mensajes
Aplicación de ayuda de mensajes
Aplicación de Navegador de Internet
La tabla CachedPosition de la base de datos CachedGeoposition contiene los siguientes campos:
Aplicación de contactos
Aplicación de Explorador de Medios
Aplicación Google Maps
Aplicación Gmail
Aplicación de correo
Aplicación Dropbox
Aplicación Adobe Reader
Aplicación YouTube
Aplicación Cooliris Media Gallery
Aplicación Facebook
CAPÍTULO 11. DISCOS ÓPTICOS. Análisis forense de almacenamiento de discos ópticos
Consideraciones previas
Composición física
Tabla de especificaciones de discos ópticos (171)
Técnicas de escritura en los discos ópticos
Sistemas de archivos
Etapa de identificación, registro, protección, embalaje y traslado. Identificación y registro
Protección de los discos ópticos
Rotulado de los discos compactos
Embalaje y traslado
Etapa de recolección y adquisición de datos. Procedimiento para la duplicación de discos ópticos CD y DVD
Etapa de análisis de datos. Procedimiento para la preparación del análisis de los discos ópticos
Procedimiento para el análisis del sistema de archivo ISO9660
Procedimiento para el análisis del sistema de archivo Joliet
Procedimiento para el análisis del sistema Rock Ridge
Procedimiento para el análisis del sistema UDF
Procedimiento para el análisis del sistema HFS y HFS+ (Apple Macintosh)
Procedimiento para el análisis del sistema El Torito
Procedimiento para el análisis de la imagen adquirida con Autopsy para Windows
Procedimiento general para el análisis de discos ópticos y/o de sus respectivas imágenes
CAPÍTULO 12. DISPOSITIVOS DE NAVEGACIÓN VEHICULAR POR GPS TOM TOM (185) Consideraciones previas
Etapa de identificación, registro, protección, embalaje y traslado de dispositivos de GPS Tom Tom
Etapa de recolección y adquisición de datos. Procedimientos de recolección de datos en dispositivos de GPS Tom Tom (187)
Etapa de análisis de datos. Procedimiento para el análisis de datos en dispositivos de GPS Tom Tom
CAPÍTULO 13. MISCELÁNEA. Características del software de bloqueo de escritura
Procedimiento del uso de software bloqueador de escritura
Referencia acerca del software bloqueador de escritura
Operación
[…] Requisitos
[…] Requisitos para las funciones obligatorias
Proceso de prueba de herramientas por parte del NIST
Referencia
Referencia. Software bloqueador de escritura
Dispositivos BlackBerry
Consideraciones previas
Tipos de almacenamiento de archivos en dispositivos BlackBerry
Etapa de identificación, registro, protección, embalaje y traslado
Procedimiento: El dispositivo tiene el código de acceso
Etapa de recolección y adquisición. Procedimiento para la adquisición física de datos
Procedimiento para la adquisición de datos a partir del archivo de resguardo
Etapa de análisis de datos
Procedimiento para el análisis de archivos de imágenes
Procedimiento para el análisis de los archivos de audio y video
Procedimiento para el análisis del contenido del video forense
Criterios y Directrices
Misión
Introducción
Definiciones
Equipo
Directrices sobre los procedimientos operativos estándar de procesamiento de video
Pasos para el procesamiento de cintas de video
Formulario de registro de evidencia de video
ANEXO 1. PROCEDIMIENTO PARA LA CADENA DE CUSTODIA EN LA PERICIA DE INFORMÁTICA FORENSE
Procedimiento
Duplicación y autenticación de la prueba
Operaciones a realizar
Recolección y registro de evidencia virtual. Equipo encendido
Procedimiento para el acceso a los dispositivos de almacenamiento volátil
Procedimiento con el equipo encendido
Equipo apagado
Procedimiento para la detección, recolección y registro de indicios probatorios
Procedimiento para el resguardo de la prueba y preparación para su traslado
Traslado de la evidencia de Informática forense
Inventario de hardware en la inspección y reconocimiento judicial
Formulario de registro de evidencia de la computadora
Formulario de registro de evidencia de celulares
Rótulos para las evidencias
Formulario – Recibo de efectos*
Formulario para la cadena de custodia
Formulario de responsables de la cadena de custodia 4
Modelo de Acta de inspección o secuestro
Modelo de Acta de escribano
ANEXO 2. ESTRUCTURA DEMOSTRATIVA JUDICIAL
El problema de la prueba
El problema de la redacción
ANEXO 3. LA NOTIFICACIÓN POR CORREO ELECTRÓNICO (LEY 14.142, PCIA. DE BS. AS.)
El correo epistolar y el aviso de retorno
El correo electrónico y el concepto de No Repudio
La casilla profesional y la casilla personal
La casilla profesional como dato filiatorio
Los servicios disponibles y los servicios necesarios
ANEXO 4. UNIFORMAR LAS FORMAS Y FORMAR LOS UNIFORMES
El peso del bronce
Idoneidad: capacitación vs. aceleración
Informe estructurado vs. estructura informal
Las contradicciones evidentes
ANEXO 5. CONTRADICCIONES JUDICIALES
Reflexión doctrinaria
El problema subjetivo
La “vulnerabilidad” ante la copia ilegítima (e ilegal)
La acción penal en manos del Estado
ANEXO 6. MODELOS. Modelo de oficio a ISP. OFICIO JUDICIAL
Modelo de ofrecimiento de prueba documental informática y pericial informático forense en subsidio
Pericial informático forense:
ANEXO 7. LA YAPA
BIBLIOGRAFÍA
