Оглавление
Luis Enrique Arellano González. Manual de informática forense
ACTUALIZACIÓN ON-LINE
LOS AUTORES. Prof. Ing. María Elena Darahuge
Prof. Ing. Luis Enrique Arellano González
PRÓLOGO
PREFACIO
CAPÍTULO 1. ESTRUCTURA GENERAL
Orientación para la lectura del manual
CAPÍTULO 2. LA PROBLEMÁTICA DE LA INFORMÁTICA FORENSE
El surgimiento de la Informática Forense, su inserción social, judicial y tecnológica
Concepto de Informática Forense
CAPÍTULO 3. IMPLANTACIÓN PERICIAL CRIMINALÍSTICA
CAPÍTULO 4. IMPLANTACIÓN INFORMÁTICA
CAPÍTULO 5. IMPLANTACIÓN JUDICIAL
El delito informático propio e impropio
La reconstrucción del hecho
La reconstrucción metodológica del hecho
El lugar del hecho virtual propio e impropio
Prueba documental clásica (bibliográfica, foliográfica y pictográfica) e Informática
Elemento probatorio pertinente y conducente
Prueba pericial informático forense
Relaciones con otras disciplinas
CAPÍTULO 6. INFORMÁTICA FORENSE - LA PRUEBA DOCUMENTAL INFORMÁTICA. Principios y relaciones periciales informático forenses
La prueba documental informática
Definición y relaciones
Inteligencia estratégica
La entrevista
CAPÍTULO 7. INSERCIÓN LEGAL DEL PERITO EN INFORMÁTICA FORENSE - LA INSPECCIÓN JUDICIAL. Generalidades
Legalidad de la requisitoria pericial
Entorno legal del perito
Formalidades de la aceptación del cargo
Diligencias previas en el Juzgado
Requisitos legales y formales de la inspección judicial
Artículos pertinentes del Código de Procedimientos Penal de la Nación (CPPN)
Responsabilidad legal del perito informático forense: posesión, protección, análisis, preservación y devolución de la prueba
Legislación de fondo, el perito como testigo y el falso testimonio
Legislación complementaria, leyes y proyectos
Jurisprudencia
CAPÍTULO 8. ACTIVIDADES PERICIALES COMPLEMENTARIAS. La aceptación del cargo
El informe pericial informático forense impreso y virtual
El párrafo de presentación
El objeto de la pericia y los puntos de pericia (tarea transdisciplinaria)
Los elementos ofrecidos (equipos, programas, indicios y rastros)
Las operaciones realizadas
Las conclusiones
CAPÍTULO 9. LA IMPUGNACIÓN
Revisión legal
La relación del perito con las partes y con los abogados de las mismas
Control, revisión y exigencia de legalidad en las herramientas utilizadas
Revisión científica, tecnológica y técnica
Revisión lógica
Revisión formal
CAPÍTULO 10. VALOR PROBATORIO DE LA PRUEBA INDICIARIA INFORMÁTICO FORENSE. Prueba documental informática (recaudos procesales)
Inserción de la prueba documental informática
Pertinencia de la prueba documental informática
El acceso y resguardo de la documental informática
La certificación de la documental informática
Recolección estratégica de la documental informática
Prueba pericial
En el delito informático propio e impropio
CAPÍTULO 11. UN EJEMPLO DE DELITO INFORMÁTICO PROPIO (EL PHISHING)
Herramienta de análisis del lugar del hecho real
Herramienta de análisis del lugar del hecho virtual
CAPÍTULO 12. GUÍA PARA EJECUTAR LA RECOLECCIÓN DE LA DOCUMENTAL INFORMÁTICA
CAPÍTULO 13. MARCO TECNOLÓGICO PERICIAL (LA PERICIA INFORMÁTICO FORENSE EN LA PRÁCTICA)
Listas de Control del Equipo del perito informático forense
Herramientas de hardware y software del perito informático forense
Elementos de hardware del laboratorio del perito informático forense
Equipo fijo de Laboratorio - Estación de trabajo
Especificaciones técnicas:
Equipo móvil de Laboratorio
Componentes de hardware de uso específico:
Laboratorios que trabajan para la Justicia y recuperan datos:
Equipo para la autenticación y duplicación de evidencia del disco rígido:
Herramientas de software para Informática Forense
Conjunto de herramientas integradas en un solo paquete de software - Productos Comerciales:
Herramientas individuales e integradas en paquetes de función específica
Herramientas de funciones específicas:
Borrado seguro, limpieza y desinfección:
Duplicación de discos
Duplicación en forma remota
Manejo de Particiones
RED
Recuperación de archivos eliminados
En Windows
Recuperación de archivos con claves
Recuperación de archivos de la papelera de reciclaje:
Telefonía, Celulares, PDA, GPS
Herramientas para la elaboración del informe pericial
Clasificación e identificación de las pericias informático forenses
Nomenclatura
Ejemplos
Etapas del Marco Tecnológico Pericial
Procedimientos a efectuar en el laboratorio para la preparación de las herramientas de software y hardware
Tarea a realizar en el Laboratorio. Procedimiento. I. Procedimiento para la comprobación matemática de las herramientas
II. Procedimiento para la limpieza y desinfección de los dispositivos de escritura
I – Etapa: Acceso a los recursos dubitados
II – Etapa: Identificación y registro
III – Etapa: Autenticación, duplicación y resguardo de la prueba
Procedimiento
Duplicación y autenticación de la prueba
Procedimiento para el resguardo de la prueba y preparación para su traslado. Procedimiento
Elementos para el traslado de evidencias
IV – Etapa: Detección, recolección y registro de indicios probatorios
Alternativa I, para el acceso con el equipo encendido
Procedimiento
Procedimiento
A continuación se describen algunas herramientas de software para la recolección en vivo:
Identifica los procesos que utilizan determinados archivos o sockets
Otros archivos a examinar son los ubicados en:
En sistemas operativos Microsoft Windows
Certificación matemática de los archivos
Envío de la evidencia a través de una conexión remota
Ejecución de un intérprete de comandos legítimo
Registro de la fecha y hora
Para visualizar los resultados, ejecutar el comando type:
Descarga de la memoria RAM
Verificación de los usuarios conectados al sistema y de los usuarios con acceso remoto
Verificación de las fechas y hora de acceso, creación o modificación de todos los archivos
Verificación de los puertos abiertos
Verificación de las aplicaciones asociadas con los puertos abiertos
Verificación de los procesos activos
Verificación de las conexiones actuales y recientes
Revisión de los registros de eventos o sucesos del sistema operativo
Verificación de la base de datos del Registro del sistema operativo
Examinar los archivos de configuración del sistema operativo
Verificación y obtención de las claves de los usuarios del sistema
Verificación de archivos relevantes
Herramientas
Descarga de los archivos temporales
Verificación de los enlaces a archivos rotos
Verificación de los archivos de navegación por Internet
Verificación y descarga de los archivos de correo electrónico
Cliente de correo Outlook Express
Cliente de correo Microsoft Outlook
Cliente de correo Netscape Messenger
Documentar los comandos utilizados durante la recolección de datos o en la respuesta al incidente
Generación de un script o secuencia de comandos
Respuesta a incidentes
Alternativa II, con el equipo apagado
Procedimiento
V - Análisis e interpretación de los indicios probatorios. Reconstrucción y / o simulación del incidente
Procedimiento para el análisis e interpretación de los indicios probatorios. Procedimiento
Elementos a examinar en el disco duro: (Anexo - Lista de control de Análisis de discos)
Discos rígidos de computadoras portátiles
Aspectos a considerar de los sistemas de archivos de los sistemas operativos
Estructura del inodo
Niveles de almacenamiento en el sistema de archivos
Nivel físico
Nivel de clasificación de la información
Esquema de particiones de BSD
Nivel de unidades de asignación
Nivel de gestión del espacio de almacenamiento
Unidades de asignación (FAT Clusters)
Gestión del espacio de almacenamiento (Tabla FAT)
Entradas de directorios
Nivel de clasificación y almacenamiento del nivel de aplicación
Análisis de particiones de los discos duros
Herramientas
Rh9#fdisk - l
#fdisk
En Windows XP
Herramientas
En Windows
Herramientas
Análisis de los datos de las unidades de CD-R y CD-RW - DVD y dispositivos con memoria flash
Visualización de diferentes tipos de archivos
Búsqueda de texto y palabras claves. Herramientas:
Análisis del espacio no utilizado o no asignado
Áreas del sistema de archivo que contienen datos borrados o eliminados
Espacio no asignado
Eliminación o borrado de información en el disco rígido
Listar los directorios ocultos de la papelera
Estructura de INFO2
Eliminación segura de los datos
Análisis de datos ocultos
Tipo: Enmascaramiento. Técnicas
Métodos:
Archivos protegidos con claves
Procedimiento
Tipo: ocultamiento de información. Técnicas
Herramientas. Windows
Linux y Windows
Espacio no asignado, desperdiciado y libre. Flujo de caracteres - stream
Archivo ocultar.txt sin flujo de caracteres
Archivo ocultar.txt sin flujo de caracteres
Herramienta
Tipo: Alteración del entorno
Herramientas
Código malicioso o Malware
Métodos de invasión o ataque
Modos de control de la invasión o ataque
Modo de distribución o impregnación
Objetivos del código hostil
Análisis del correo electrónico
Características del encabezado de los mensajes:
Descripción del encabezado:
ESTRUCTURA DEL CAMPO RECEIVED
Aspectos importantes a considerar en el análisis del encabezado del mensaje
Procedimiento
Herramientas para el análisis del encabezado de correo electrónico
Visualización de encabezados en diferentes clientes de correo electrónico
Verificación de los archivos de impresión
Análisis de código malicioso
Sitios de programas antivirus con la descripción de los distintos tipos de virus:
Herramientas de Antivirus
Herramientas de control remoto
Herramientas exploradoras de red y de vulnerabilidades
Herramientas rastreadoras de la red o sniffers
Herramientas detector de DDoS (denegación distribuida de servicio)
Herramientas bombas lógicas y bombas de tiempo
Herramientas para el Registro de las acciones efectuadas por teclado y/o mouse
Herramientas para eliminación de huellas
Procedimiento
Análisis de celulares, PDA, GPS
Herramientas de software para la simulación virtual
VI - Cotejo, correlación de datos y conclusiones
Técnicas posibles a utilizar para el cotejo y correlación de los datos
Procedimiento para el cotejo y correlación de los datos. Procedimiento
Procedimiento para la elaboración de las conclusiones. Procedimiento
Elementos a cotejar y correlacionar
Fecha y hora
Tablas de enrutamiento
Tabla ARP
Tabla de procesos activos
Tipo de sistema operativo
Sistemas de Archivos
Resguardo de herramientas de hardware y software utilizados en la pericia
APÉNDICE 1. ESTUDIO DE UN CASO REPRESENTATIVO
APÉNDICE 2. PROCEDIMIENTO ANTE LA REQUISITORIA PERICIAL
APÉNDICE 3. EL MÉTODO SISTÉMICO (RESUMEN)
Visión sistémica de la investigación
Entrevista previa o licitación
Relevamiento de la información
Selección de la metodología de análisis
Generación del modelo conceptual
Generación de los modelos complementarios
Programación y codificación
Prueba y ejecución en paralelo
Capacitación, supervisión y soporte de la aplicación
Retroalimentación
Síntesis
APÉNDICE 4. INFORMACIÓN COMPLEMENTARIA. Requisitoria pericial
Título VII - Participación criminal
Dibujo pericial complementario. Croquis ilustrativo
Condiciones esenciales
Elementos
Dibujos auxiliares
Fotografías durante la inspección judicial
APÉNDICE 5. MANUAL DE AUTOPSY
Traducción al castellano, adaptación y notas del traductor:
Introducción
Emulador Cygwin. Instalación – Configuración y Acceso
Instalación de Cygwin:
Ejecución de Cygwin y acceso al intérprete de comandos (shell):
Instalación de Sleuth Kit:
Instalación de Autopsy:
Descripción general de Autopsy
Ejecución de Autopsy en Cygwin
Creación de un caso en Autopsy
Opción Analize - Analizar
Opción Keyword Search – Búsqueda de palabras claves
Comando “grep” (filtrar)
Opción File Type – Tipo de Archivo
Image Details – Detalles de la Imagen
Opción Meta Data - Metadatos
Aclaraciones acerca de NTFS y FAT:
Opción Data Unit – Unidad de Datos
Aclaraciones sobre el sistema de archive FAT
Timeline Mode – Modo Línea de Tiempo
Image Integrity – Integridad de la Imagen
Event Sequencer - Secuencia de sucesos
Hash Database – Base de datos de Hash
Usos de las bases de datos - Database Uses
Configuración en Autopsy
Referencias
Anexo I - Herramientas de Sleuth Kit
Anexo II - Comando: sorter
APÉNDICE 6. RELACIONES CON LA PRUEBA INDICIARIA NO INFORMÁTICA. Expertos en Balística
Armas
Proyectiles
Huellas plantares (Retrato del paso) y de vehículos
Huellas dactilares
Manchas de sangre
Manchas varias (material fecal, meconio, calostro, semen, orina), pelos, fibras naturales o artificiales
Documentos
Suposiciones a priori
APÉNDICE 7. LA ESTRUCTURA LÓGICA DEMOSTRATIVA EN LA LABOR PERICIAL. Demostración lógica y tecnológica de las conclusiones alcanzadas
Razonamiento Uno (estructura utilizada: conjunción P, Q, entonces P y Q)
Razonamiento Dos (estructura utilizada: conjunción P, Q, entonces P y Q)
Razonamiento Tres (estructura utilizada: conjunción P, Q, entonces P y Q)
Razonamiento Cuatro (estructura utilizada: conjunción P, Q, entonces P y Q)
Razonamiento Cinco (estructura utilizada: conjunción P, Q, entonces P y Q)
Razonamiento Seis (estructura utilizada: conjunción P, Q, entonces P y Q)
Razonamiento Siete (estructura utilizada: conjunción P, Q, entonces P y Q)
APÉNDICE 8. LA REDACCIÓN FINAL
Generación del informe pericial
Preparación de la defensa escrita/oral
Reglas para las citas
La posredacción
Respecto de la presentación
Respecto de la forma de presentación
Entrega formal del informe pericial
APÉNDICE 9. LA DEFENSA ORAL. La defensa ante el tribunal
Reglas de argumentación generales
Reglas para evaluar argumentaciones de los interlocutores
Reglas para construir nuestras propias argumentaciones
La defensa ortodoxa
Las lagunas pasajeras
Las metáforas
Las respuestas estrictas
Consideraciones prácticas para la argumentación oral
APÉNDICE 10. GLOSARIO COMPLEMENTARIO BÁSICO
APÉNDICE 11. RESUMEN DE LÓGICA PROPOSICIONAL
APÉNDICE 12. LA INSPECCIÓN JUDICIAL
Generalidades
Situaciones posibles en la inspección judicial
Metodología de trabajo
Acta de inspección o secuestro
APÉNDICE 13. MISCELÁNEAS. Listado de Claves BIOS - CMOS. AWARD
AMI
PHOENIX
Otras
Varios fabricantes
TOSHIBA
IBM APTIVA BIOS
Listado de Puertos utilizados por Troyanos
APÉNDICE 14. LA YAPA
ANEXO 1. DIAGRAMAS CONCEPTUALES. Marco científico investigativo
Esquema de investigación
Modelo de estructura demostrativa
Gráfico del caso particular de conclusiones contradictorias
Caso especial de variable secundaria (indicador) innecesario
Marco, metodológico sistémico
Marco metodológico criminalístico
Marco legal
Marco tecnológico pericial
ANEXO 2. MODELO DE INFORME PERICIAL
ANEXO 3. MODELOS DE NOTAS. Excusación con causa
Informando percepción de adelanto para gastos
Excusación invocando razones de recusación
Solicitando autorización para ingresar al lugar de ejecución de las tareas periciales
Solicitando fecha para realizar reconocimiento judicial
Solicitando adelanto para gastos, suspensión de plazos, autorización de procuración en el expediente
Solicitando aclaratoria de puntos de pericia y suspensión de plazos
ANEXO 4. FORMULARIOS. Lista de control de hardware en la inspección y reconocimiento judicial
Formulario de registro de evidencia
Rótulos para las evidencias
Formulario – Recibo de efectos
Formulario para la Cadena de Custodia
Lista de control de respuesta a incidentes
Lista de control de análisis de discos
BIBLIOGRAFÍA. Libros. Jurídica
Informática Forense
Sistemas operativos – Protocolos y redes - Seguridad informática
Investigación
RFC – Request for Comment
Normas
Internet. Fraudes, delitos informáticos y crimen en el ciberespacio
Seguridad informática
RFC y estándares
Auditoría
Códigos de ética
Jurídica
Colegio de abogados
Criminalística
Grupos de discusión
De interés general
