Оглавление
Luis Enrique Arellano González. Manual de informática forense III
ACTUALIZACIÓN ON-LINE
LOS AUTORES. Prof. Ing. María Elena Darahuge
Prof. Ing. Luis Enrique Arellano González
PRÓLOGO
PREFACIO
CAPÍTULO 1. PRUEBA DOCUMENTAL INFORMÁTICA VS. PRUEBA INFORMÁTICA
Relaciones de la prueba documental informática y la prueba documental clásica
Las pruebas documentales admitidas en los Códigos de Forma
La herencia de los escribas
La confusión de roles, cargos y títulos
Prueba documental clásica
La confusión entre prueba documental informática y pericia informático forense
Síntesis
CAPÍTULO 2. LA PRUEBA INDICIARIA TECNOLÓGICA
Características de la prueba indiciaria, idoneidad pericial para el cotejo (elementos indubitados) (10)
El problema de la idoneidad del perito
El problema de los operadores del Derecho
La sana crítica
¿Cuál creemos que sería el camino hacia la solución?
CAPÍTULO 3. EL DESARROLLO DE LA PRUEBA INDICIARIA INFORMÁTICA, LA PRUEBA DOCUMENTAL INFORMÁTICA Y LA INFORMÁTICA FORENSE EN EL MARCO DE LA JURISPRUDENCIA
CAPÍTULO 4. LAS MEDIDAS PREVIAS, PRELIMINARES O PRUEBA ANTICIPADA EN INFORMÁTICA FORENSE
Requisitos doctrinarios
CAPÍTULO 5. LA INTERVENCIÓN NOTARIAL EN LA RECOLECCIÓN DE PRUEBA INFORMÁTICO FORENSE. La inserción probatoria de la prueba documental informática
La necesaria confiabilidad de la prueba documental informática
La certificación de los elementos probatorios, a efectos de asegurar la confiabilidad de estos
Alcance de la certificación pretendida
La relación entre la prueba documental informática y las pruebas que la complementan
El carácter certificante del escribano público
Síntesis
¿Qué puede y qué no puede certificar el escribano?
CAPÍTULO 6. LA CADENA DE CUSTODIA INFORMÁTICO FORENSE
CAPÍTULO 7. PROTOCOLO PARA LA GESTIÓN PERICIAL EN INFORMÁTICA FORENSE
1) Detección, identificación y registro
2) Recolección de los elementos informáticos dubitados (físicos o virtuales)
3) Recolección y registro de evidencia virtual
4) Procedimiento para el resguardo de la prueba y preparación para su traslado
5) Traslado de la evidencia de Informática forense
CAPÍTULO 8. MODELO DE EVALUACIÓN CRIPTOGRÁFICA (SUSTENTADO EN LA METODOLOGÍA CRIMINALÍSTICA) Antecedentes
Idéntico, ca. (De ídem y tico)
Identidad. (Del b. lat. identĭtas, -ätis)
Conceptos preliminares
Método criminalístico
Soporte científico válido
Tecnología adecuada a la especialidad
Técnica instrumental reproducible
Desarrollo progresivo, equivalente y universal
Aplicación in situ, trabajo de campo (inspección judicial) y/o de laboratorio
Validez demostrativa (deducción, inducción, abducción y reglas de inferencia) Deducción
Inducción
Abducción
Reglas de inferencias en lógica proposicional
Lógica estricta (marco de referencias, hipótesis de trabajo, variables, premisas, razonamientos, conclusiones)
Experiencias reproducibles y resultados comprobables a posteriori
Principio de identidad atípico
Equivalencias metodológicas
Formulario de evaluación de certeza criminalística
CAPÍTULO 9. EVALUACIÓN DE CERTEZA CRIMINALÍSTICA - ANÁLISIS DE ALGORITMOS CRIPTOGRÁFICOS
Primitivas criptográficas
Cifrado por bloques
AES (Advanced Encription Standard)
Camellia
Cifrado por bloques desactualizados
Kasumi
Blowfish (53)
DES
Cifrado de flujo
Uso futuro de cifrado de flujo
Primitivas de clave pública
Factorización
Logaritmos discretos
Finite Field DLP
ECDLP
Emparejamiento
Longitud de la clave
ECRYPT
NIST
Cifrador por bloques. Modos básicos de operación
Código de autenticación de mensajes
Funciones hash basadas en MAC
CAPÍTULO 10. EVALUACIÓN DE CERTEZA CRIMINALÍSTICA - ANÁLISIS DE ALGORITMOS DE RESUMEN O HASH. Funciones de hash
Funciones de hash de uso futuro
SHA-2
SHA-3
Whirlpool
Funciones de hash en aplicaciones desactualizadas. RIPEMD-160
SHA-1
Formulario modelo para la evaluación criminalística de algoritmos criptográficos
Formulario Funciones de Hash
Formulario Funciones de MAC
CAPÍTULO 11. GUÍAS DE EJERCICIOS RESUELTOS. Conceptos preliminares acerca de las guías de ejercicios
Guía. Etapa Preliminar. Borrado seguro, limpieza o “sanitización” y verificación matemática
Ejercicios
CAPÍTULO 12. ETAPA DE RECOLECCIÓN, AUTENTICACIÓN, DUPLICACIÓN Y RESGUARDO. Recolección y adquisición de información volátil. Aspectos preliminares
Objetivos
Adquisición en el Sistema Operativo Windows
Ejercicio
CAPÍTULO 13. ADQUISICIONES. Recursos - Herramientas
Ejercicio
Recolección de datos en vivo de un Sistema Operativo Windows en forma remota. Aspectos preliminares
Objetivos
Recursos - Herramientas
Ejercicio
Duplicación. Aspectos preliminares
Objetivos
Recursos - Herramientas
Ejercicio
Comando dd para el Sistema Operativo Windows
Ejercicio
Ejercicio para el Sistema Operativo Linux
Imagen con Autopsy para Windows. Ejercicio
CAPÍTULO 14. RECOLECCIÓN DE MENSAJES DE CORREO ELECTRÓNICO. Aspectos preliminares
Objetivos
Recursos - Herramientas
Outlook Express. Ejercicio
Configuración de cuentas de correo POP y SMTP para Webmail Gmail. Consideraciones previas
Gmail. Sincronización de las acciones con IMAP
Configurar la cuenta en Gmail (POP/IMAP) para Windows Live Mail. Ejercicio
Configuración de correo para diferentes dispositivos. Configuración de POP/ IMAP en Android
Configuración de POP/IMAP en BlackBerry
Configuración de POP/IMAP en dispositivos de Apple (iPhone, iPad, iPod) POP en iPhone
IMAP en iPhone, iPad, iPod - Direcciones Google Apps y aplicación mail
Configuración de POP/IMAP en Apple Mail
Configuración de POP/IMAP en Thunderbird. Configuración POP
Configuración IMAP
Ejemplos de configuraciones genéricas
CAPÍTULO 15. ETAPA DE ANÁLISIS E INTERPRETACIÓN DE LOS INDICIOS PROBATORIOS. Aspectos preliminares
Revisión de conceptos
Objetivos
Recursos - Herramientas
Análisis de un diskette del tipo IBM con formato del tipo Fat 12. Ejercicio
Análisis del encabezado de un correo electrónico. Objetivos
Ejercicio 1
Ejercicio 2
Ejercicio 3
Ejercicio 4
Ejercicio 5
Análisis del Sistema Operativo Windows. Conceptos previos
Ejercicio. Imagen del Sistema Operativo Windows 2000
Imagen del Sistema Operativo Windows 7
CAPÍTULO 16. ANÁLISIS DE IMÁGENES DE CELULARES Y DATOS OCULTOS. Aspectos preliminares
Objetivos
Recursos - Herramientas
Ejercicio
Datos ocultos. Esteganografía. ADS. Aspectos preliminares. Datos ocultos
Objetivos
Recursos - Herramientas
Consignas
Ejercicios
CAPÍTULO 17. MÁQUINA VIRTUAL Y CADENA DE CUSTODIA. Ejercicio
VMware
Cadena de custodia - HMAC. Aspectos preliminares - HMAC
Objetivos
Recursos - Herramientas
Ejercicio
ANEXO 1. FORMULARIOS. Inventario de hardware en la inspección y reconocimiento judicial
Formulario de registro de evidencia
Formulario de registro de evidencia de celulares
Rótulos para las evidencias
Formulario - Recibo de efectos *
*Adjuntar con el Formulario de Cadena de Custodia. Formulario para la cadena de custodia (destinos y depósitos)
Formulario de cadena de custodia de responsables
ANEXO 2. MODELOS. Acta de inspección o secuestro
Modelo de Acta de escribano
Modelo de adelanto para gastos (105)
Modelo de cédula laboral (106)
Modelo de resolución judicial, negando el adelanto para gastos a priori (107)
Modelo de excusación 1 (108)
Modelo de excusación 2 (109)
Modelo de recurso de reposición o solicitud de excusación y remoción (111)
Modelo de excusación y remoción (ejemplo particular (112))
Modelo de recurso de reposición ante informe a la Cámara, con fines registrales y de futuras sanciones (113)
Modelo de recurso de reposición ante honorarios exiguos (114)
Modelo de fundamentación para solicitar informes a proveedores de servicios extranjeros (116)
ANEXO 3. GLOSARIO
ANEXO 4. JURISPRUDENCIA RELACIONADA (117) Consideran procedente solicitud de prueba anticipada tendiente a obtener una copia de seguridad de los sistemas informáticos del demandado
Medida de Prueba Anticipada. Admiten la realización de la copia de seguridad de los sistemas informáticos ubicados en la sede de la empresa demandada con la participación del Defensor Oficial y del Oficial de Justicia de la zona. Por la Dra. Adela Prat, 28 de junio 28 de 2012
Resuelven que es procedente como medida de Prueba Anticipada, la realización de un back up de la información almacenada en los discos rígidos de una empresa ante la posibilidad de que los demandados modifiquen sus registros informáticos. Debe citarse al Defensor Oficial. Por la Dra. Adela Prat, 16 de marzo de 2012
Resuelven la inviolabilidad del correo electrónico al ordenar como prueba anticipada una pericial informática. Necesaria citación de la contraria. Rechazo, en el caso, de la designación del Defensor Oficial. Por la Dra. Adela Prat, 25 de abril de 2011
Se ordena la producción, como prueba anticipada, de una pericial informática. Fundamentos. Por la Dra. Adela Prat, 15 de abril de 2011
Fallo de la Cámara Nacional de Casación Penal. Sala II. Causa: CCC 68234/2014 “Orangután, Sandra c/recurso de casación s/hábeas corpus” (118)
ANEXO 5. RECONOCIMIENTO DE VOZ. Conceptos preliminares
Identificación del locutor
Estadística de aciertos y errores en reconocedores de voz e identificadores de locutores
Evolución de los reconocedores de voz
ANEXO 6. ATAQUES DE CANAL LATERAL
Tipos de ataques de canal lateral. Sincronización (timming)
Monitoreo de energía
ANEXO 7. BREVE INTRODUCCIÓN AL SISTEMA OPERATIVO LINUX. Conceptos preliminares
Instalación y configuración básica de Linux en una máquina virtual. Instalación
Interfaz gráfica KDE
Inicio del sistema operativo
Proceso “init” y run-levels (modos de ejecución)
Proceso de inicio de sesión
Intérprete de comandos en GNU/LINUX
Cambios de nivel de arranque
Cambios de modos de arranque
Apagado del equipo
Comandos básicos del sistema operativo. Comando “man”
Tipos de usuarios
Usuario root
Usuarios especiales
Usuarios normales
Archivo que contiene el listado de los usuarios
Comando de gestión de usuarios y grupos. Comando “useradd”
Ejercicio:
Árbol de directorios de LINUX
Comandos de gestión de archivos
Ejercicios
Procesos en LINUX
Comandos de gestión de procesos
Gestión de entrada y salida estándar. Conceptos preliminares
Redirección de las salidas de los comandos
Comunicación entre procesos
Gestión de memoria - Sistema de archivos “/proc”
Herramientas para la administración de sistemas de archivos
Mantenimiento y resguardo. Mantenimiento
Resguardo
Interfaz KDE
Acceso al sistema
Acceso al Lanzador de aplicaciones
Referencia de comandos Unix-Linux. Manuales y documentación
Listado de comandos
Combinaciones útiles
Concatenar comandos
ANEXO 8. LA CREDULIDAD EN EL DERECHO
ANEXO 9. EQUIDAD PARA EL PERITO EN EL FUERO LABORAL NACIONAL (119) 1. El derecho a recibir un adelanto para gastos en el conflicto laboral judicializado
1.1. La justicia
1.2. La pericia
1.3. El perito
1.4. El adelanto para gastos
2. Desarrollo. 2.1. El contrato cuasilaboral o la tosquedad judicial
2.2. El cuasiempleador
2.3. El cuasiempleado
2.4. La sujeción a ultranza a la norma
2.5. La comparación con los operadores del Derecho
2.6. El aporte de los ejecutores del Derecho
2.7. El recurso de reposición a posteriori de la denegatoria del adelanto para gastos
2.8. La personalísima decisión de luchar o callar
3. Conclusión
4. Una propuesta de posible solución
ANEXO 10. FICCIONES DEL LUGAR DEL HECHO VIRTUAL IMPROPIO (LHVI) Y ENGAÑOS PERICIALES OFRECIDOS AL JUEZ
1. Introducción
2. Conceptos básicos (glosario)
3. El Lugar del Hecho Real (LHR), el Lugar del Hecho Virtual Impropio (LUVI) y el Lugar del Hecho Virtual Propio (LHVP)
4. La cultura norteña
5. El realismo mágico de las herramientas de simulación
6. El recurso retórico para reemplazar el conocimiento inexistente. 6.1. El supuesto lenguaje técnico
7. Conclusión
ANEXO 11. GUÍA DE RECOLECCIÓN DE INFORMACIÓN EN LINUX CON EL EQUIPO ENCENDIDO. Consignas
Recursos y herramientas a descargar de Internet. Recursos - Herramientas:
Preparación del dispositivo para almacenar las herramientas forenses:
Listado de herramientas de recolección de información volátil
Comandos para la preparación de dispositivos de almacenamiento en el Sistema Operativo Linux. Particionar un dispositivo
Dar formato a un dispositivo
Montar el dispositivo
Montar un dispositivo de almacenamiento en solo lectura
Ejercicio
Análisis de la información recolectada (enlaces duros o hard links)
Ejemplo de creación de un enlace duro:
El comando stat de cada archivo verifica los cambios:
Encontrar enlaces duros en el sistema de archivos
Guía Análisis de imágenes con Autopsy (Versión 4 para Sistemas Operativos Microsoft Windows). Etapa V - Análisis e interpretación de los indicios probatorios. Reconstrucción y/o simulación del incidente. Aspectos preliminares
Objetivos
Recursos - Herramientas
Ejercicios
Instalar módulos escritos por terceros
Instalación de módulos del tipo NBM
Guía del comando TCPDump. Conceptos previos
Ejemplos de ejecución y resultados del comando tcpdump
Consignas
Referencias
Recursos
Descripción del comando tcpdump
Guía - Sistema Operativo Linux Kali. Consideraciones previas
Conceptos preliminares
Concepto de Metasploit
Concepto de Exploit
Aspectos importantes
Consignas
- Servicios web vulnerables
a. Servicio web vulnerable Mutillidae
b. Servicio web vulnerable DVWA - Damn Vulnerable Web App
c. Servicios web vulnerables - PHP divulgación de información
Guía Armitage. Conceptos previos
Consignas
Recursos
Escenario
Ejercicio A. Introducción al uso de la herramienta Armitage
Ejercicio B
BIBLIOGRAFÍA. Principal
Complementaria
Supletoria (artículos)
