INFORMÁTICA URJC: CRIMINOLOGÍA #22

OSINT Podemos definir inteligencia como el producto resultante de la recolección, evaluación, análisis, integración e interpretación de toda la información disponible, y que es inmediatamente o potencialmente significativa para la planificación y las operaciones.  Por otro lado, se entiende como ciclo de inteligencia a la secuencia mediante la cual se obtiene información, se transforma en inteligencia y se pone a disposición de los usuarios. En resumen es la forma en la que se organizan la mayoría de los servicios de inteligencia con las particularidades de cada uno. El Ciclo de Inteligencia según los Servicios de Inteligencia Nacionales consta de cuatro fases:  Dirección.  Obtención.  Elaboración.  Difusión.

Con las IPs obtenidas en el ejercicio anterior, correspondientes al servidor de correo, localizaremos su ubicación e información de entidades asociadas.

El objetivo de esta práctica es ponernos en el lugar de un ciberdelincuente y utilizar Maltego como herramienta de inteligencia. La primera vez que entremos tendremos que registrarnos. Pulsamos el botón New, para crear un nuevo graph. Sobre la entidad MX pulamos botón derecho para ejecutar una nueva trasformación “To IP address[DNS],el objetivo es conocer las direcciones IP del servidor de correo:

Para poder realizar búsquedas avanzadas que permitan obtener ciertos datos de valor es necesario utilizar operadores. Vamos a utilizar algunos de ellos tener una idea de la operatividad que permiten. -  site: Permite definir una búsqueda que muestre los resultados de un sitio en concreto. filetype: encontrará unos determinados tipos bien conocidos como: pdf, doc, docx, xml, txt... : 

Ver la lista de tareas que están corriendo en el sistema usando Sysinternals.

Ejecutaremos el comando netstat –an | more

Ejecutaremos el comando msinfo32

En esta actividad vamos a realizar un volcado de memoria del equipo mediante la herramienta FTK Imager. El volcado de memoria es uno de los aspectos más importantes y críticos de la fase de adquisición.

En esta actividad se hará uso de los comandos. Para ello, se sigue los siguientes pasos: - Introducimos date /t para que nos dé la fecha del sistema. - Después introducimos time /t para que nos de la hora. - Ahora vamos a realizar esta misma actividad pero de manera más elegante. Vamos a ordenar a las instrucciones date y time que la información que nos dan la guarde a un fichero de texto, en vez de mostrarla en pantalla. Primero lo hacemos sólo con el comando date:         ◦ date /t > fechayhora.txt  - Dentro del fichero fecha.txt tendremos la fecha del sistema. Ahora vamos hacer lo mismo pero añadiendo también la hora.         ◦ time /t >> fechayhora.txt El fichero de texto queda así:

FENOMENOLOGÍA E INVESTIGACIÓN DE DELITOS INFORMÁTICOS Delito informático es cualquier tipo de acción delictiva para cuya comisión se utilicen tecnologías de información y/o comunicaciones. El ciberespacio proporciona un entorno propicio al carecer de una legislación propia y ser un entorno virtual que facilita el anonimato y la ocultación. La investigación de estos delitos será compleja puesto que pasamos de un escenario nacional a uno internacional, donde una acción delictiva pueda afectar a varias estados, con víctimas de diferentes países. Diferentes juristas y expertos de reconocido prestigio coinciden en establecer una serie de características de estos tipos de delitos : • Transnacionalidad. • Investigación rápida. • Distancia física. • Competencia territorial y ubicuidad. • Complejidad.

DELITO INFORMÁTICO Algunos autores definen el delito informático como “el conjunto de conductas antijurídicas relacionadas con el tratamiento automático de la información por medio de ordenadores”. El derecho anglosajón ha definido el delito informático como “Computer Crime” y lo ha circunscrito a dos acciones:  Utilizar ordenadores con el fin de defraudar bienes o servicios sin autorización.  La alteración, daños, perjuicios de ordenadores o su contenidos sin autorización. Por otro lado, según la legislación Europea, más concretamente según el Convenio del Consejo de Europa sobre Ciberdelincuencia tenemos que el delito de informática esta compuesto por la falsificación informática y fraude informático.

eGarante mail puede ser muy útil para enviar informes, contratos o si necesitamos certificar que hemos enviado dichos documentos. Funcionamiento : Según la descripción que aparece en la página web de eGarante el funcionamiento es el siguiente: 1. El usuario manda un correo electrónico a un destinatario poniendo en copia a eGarante. 2. eGarante recibe el correo y certifica su contenido, fecha, emisor y destinatarios. 3. Envía una copia de dicha certificación junto con una copia del correo original al/los destinatarios y guarda el acuse de recibo de su servidor. 4. Completa la certificación del correo original con la información de entrega y envía dicha certificación al emisor

La herramienta de egarante pertenece a una empresa que ofrece servicios profesionales de certificación y tiene una versión gratuita. La herramienta ofrece la posibilidad de certificar los contenidos públicos de redes sociales, para que puedan ser adjuntados en una denuncia con plenas garantías jurídicas. Seguimos las instrucciones de la página web que consisten en: 1. Enviar un correo electrónico a la dirección websigned@egarante.com. 2. En el asunto ponemos a la URL que vamos a certificar. 3. No se pone nada más ni el asunto ni en el cuerpo del mensaje.

REDES BOTNET  Botnet o red de ordenadores zombis es el conjunto formado por ordenadores infectados por un tipo de software malicioso, que permite al atacante controlar dicha red de forma remota. Los equipos que integran la red se denominan “zombis”, o también drones.  El método de control o protocolo de comunicación de la botnet es su núcleo y ofrece diferentes posibilidades al atacante, desde el control de forma segmentada (canales de IRC) al control por medio de sistemas de nombre de dominio (DNS) o control a través de la navegación web (HTTP), entre otros.

Httrack es una herramienta que permite la descarga de un sitio web completo para su posterior análisis y navegación ofline. Para ello, hacemos uso y así comprobar su utilidad. En la siguiente imagen se puede observar un ejemplo del resultado que nos aporta dicha Herramienta:

El documento proporcionado por INTECO (Instituto Nacional de Tecnologías de la Información) en su Cuaderno de Notas del Observatorio BOTNETS, permite conocer  si nuestro equipo está infectado y pertenece a una botnet. Es el ya visto en el post anterior, que permite saber la conexión de nuestro equipo.

Código Malicioso  Malware es un vocablo que proviene del acrónimo de dos palabras inglesas, malicious software. Es un término creado por el profesor y teórico israelí Yisrael Radai en 1990. Un software catalogado como malware se caracteriza por su intencionalidad, no se debe a errores de diseño. Se ha creado ex profeso para realizar una actividad perniciosa para la información o el sistema que la alberga. El tipo de software malicioso es numeroso y variado, su forma de clasificación también puede ser variada, si bien la forma más aceptada es por su propósito. Así, una clasificación clásica de este tipo de software sería: - Para infectar sistemas: Gusanos y Virus. - Para ocultamiento de otros tipos de malware: Rootkits, troyanos, puertas traseras (backdors). - Para robo de información: Keyloggers, stealer. - Mostrar publicidad: Adware, Hijacking. - Beneficios económicos: Dialers, Ransomware, ATM, PoS malware. - Realizar ataques distribuidos: Botnets

La página de la Oficina de Seguridad del Internauta (OSI) del INCIBE, nos permite conocer si la conexión que tenemos a internet es segura, de tal manera que nos aporta información de si nuestro ordenador pertenece a alguna red Botnet.

En esta actividad se nos presenta la oportunidad de conocer y utilizar el Boletín de Seguridad Microsoft, que es una de las múltiples fuentes de información que existen para estar al día de los problemas y defectos en el software. En ella se puede informaciones como:

En este post presentaremos un servicio online, Virus Total, que permite verificar si un fichero está infectado con malware. De tal manera que Virus Total nos permite hacer uso de ella siempre que tenemos duda de la procedencia de una archivo y queremos comprobar si no está infectado. Es un servicio de fácil uso, dado que únicamente debemos incorporar el fichero que deseamos analizar, de tal manera que el resultado que da es la siguiente:

Las ciberamenazas son  todas las actividades que se llevan a cabo en el ciberespacio, cuyo objetivo es utilizar la información para realizar hechos delictivos mediante la manipulación, el control y la   sustracción. En España el nivel de alerta es muy alto, ello significa que una   a menaza importante afecta a las instituciones por lo que se requiere una acción inmediata. La probabilidad de afectar y dañar a los sistemas de información es alta. Además de todas las medidas señaladas en los niveles anteriores, los responsables de seguridad deberán coordinar los esfuerzos necesarios con los Equipos de Respuesta, tomar precauciones adicionales en sus políticas de seguridad y prepararse para ejecutar planes de contingencia. Las clases de informática no están   exentos  de este peligro, dado que debido a los numerosos ordenadores existentes en dicha clase, las cuales a pesar de tener instalados todo tipo de programas para proteger su funcionamiento, muchos...

Las amenazas son aquellos elementos capaces de atacar un sistema de información, para lo que habitualmente aprovecha una vulnerabilidad del mismo. La evolución de las ciberamenazas se va incrementando año tras año, además de porque la sociedad cada día utiliza más las tecnologías sino porque además las amenazas son a su vez más sofisticadas. Las amenazas de gran envergadura, dirigida por grandes entidades o grupos delictivos organizados, generalmente asociada a técnicas de ataques con código malicioso, se suele denominar APT o amenaza persistente avanzada. Una vulnerabilidad consiste en un defecto que tiene un sistema de información. Como tal, permite a un atacante comprometer la seguridad de la información, es decir, afecta a las dimensiones de confidencialidad, integridad y disponibilidad tanto de los sistemas como de los sistemas de información.

En primer lugar se debe llevar a cabo el análisis de riesgos que es un proceso sistemático para medir la magnitud de los riesgos a la que se exponen las organizaciones, con el objetivo de conocer la situación actual y ayudar a la toma de decisiones. Al conjunto de actividades para estudiar los activos, se le denomina Proceso de Gestión de Riesgos. Para un análisis se distinguen los siguientes pasos o fases:          Paso 1 : Definir el alcance del análisis   Paso 2 : La correcta identificación de lo activos   Paso 3 : Identificar las amenazas   Paso 4 : Qué debilidades o vulnerabilidades tienen mis activos e identificar las medidas de seguridad para atajarlos   Paso 5 : Evaluar el riesgo   Paso 6 : Prescribir un tratamiento Este tema es de los más interesantes dado que nos permite conocer y utilizar las matrices de riesgo, e ir ampliando el conocimiento de los análisis de riesgos, así como de la seguridad. 

El buscador Security Focus nos permite conocer a que sistemas u operadores afecta cada una de las vulnerabilidades buscadas. Siguiendo con la vulnerabilidad de con CVE-2014-1817, los sistemas que estarían afectados son numerosos, por ello, solo se nombrara algunos de ellos: Microsoft Windows Vista x64 Edition SP2  Microsoft Windows Vista SP2   Microsoft Windows Server 2008 R2 para sistemas basados ​​en x64 SP1   Microsoft Windows Server 2008 para sistemas basados ​​en x64 SP2   Avaya Messaging Application Server 5.2   Avaya Messaging Application Server 5   Avaya CallPilot 5.0   Avaya CallPilot 4.0   Avaya CallPilot 0   Avaya Aura Conference estándar 6.0   Avaya Aura Conference Standard La última publicación realizada en Security Focus es  Vulnerabilidad de información de Disclosure CVE-2017-5715 que afecta a usuarios de:  Xen Xen 0 VMWare Workstation 12.5.7  VMWare Workstation 12.5.5  Mozilla Fi...

Vulnerabilidad del procesador de scripts de Unicode   Existe una vulnerabilidad de ejecución remota de código en la forma en que los componentes afectados manejan los archivos de fuentes especialmente diseñados.  La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un archivo o una página web especialmente diseñados. La solución alternativa se refiere a un cambio de configuración o configuración que no corrige la vulnerabilidad subyacente pero ayudaría a bloquear los vectores de ataque conocidos antes de aplicar la actualización. Varios recursos están disponibles para ayudar a los administradores a implementar actualizaciones de seguridad. Microsoft Baseline Security Analyzer (MBSA) permite a los administradores escanear sistemas locales y remotos en busca de actualizaciones de seguridad faltantes y configuraciones comunes de seguridad. Windows Server Update Services (WSUS), Systems Management Server (SMS) y System Center Configuration M...

En este vamos a determinar cuantas amenazas tendríamos que evaluar para la casa de Lupe, dado que a los domicilios afectan menos amenazas que las que afectaría a una empresa. De manera que las amenazas que tendría que avaluar son:  Fuego  Daños por agua  Desastres naturales  Corte del suministro eléctrico  Actualización de programas (Software) Actualización de equipos (Hardware) Robo  Fuga de Información  Errores de los usuarios  El análisis de riesgos a simple vista parece una tarea difícil, pero la realidad es que disponiendo de todos los materiales necesarios para su evaluación, no es una labor muy difícil de realizar en un tiempo muy corto y con éxito enorme. Por todo ello, un estudio del cruce activo-amenaza no debería suponernos grandes problemas, ni quitarnos un tiempo mucho mayor que los 20 minutos. 

El siguiente cuadro representa las distintas dimensiones de la seguridad (Confidencialidad, Integridad, y Disponibilidad) a la que ataca cada amenaza:  

Actividad 5 - Tema 7

Las instrucciones para realizar la actividad final del análisis de riesgo facilitada por el Instituto Nacional de Ciberseguridad (INCIBE), incluye ejemplos de análisis de riesgos, tablas de probabilidad e impacto según la escala de tres valores, las principales amenazas, los diferentes activos para cada modelo de empresa. Todo ello facilita a las organizaciones la labor de realizar el análisis de riesgo, dado que sirven de modelo para realizar dicha actividad. 

A continuación se puede ver los riesgos de la Casa de Lupe de forma gráfica: 

ACTIVIDAD 1-TEMA 7 La matriz de riesgo permite medir la probabilidad de que sucedan ciertas amenazas para la empresa y el impacto que tendría para la empresa si se sucediesen dichas amenazas. De manera que los umbrales de color verde suponen un nivel bajo, el amarillo un nivel medio y el rojo un nivel alto. 

Los valores en función de la probabilidad :  - Los valores bajos: simbolizan que la amenaza se producecomo mucho una vez al año             - Los valores medios: la amenaza se produce una vez cada mes              - Los valores altos: la amenaza se produce una vez cada semana  Los valores en función del impacto :                  - Valores bajos: el daño provocado por la producción de la amenaza no tiene consecuencias                     importantes para la empresa               -Valores medios: el daño tiene consecuencias               -Valores altos: el daño tiene consecuencias graves para la organización 

La seguridad que se obtiene no es absoluta, pero sí se puede minimizar los riesgos si se dedica el esfuerzo necesario para su gestión. Para proteger la seguridad de la información se utilizan los controles de la norma ISO/IEC 27002, en ella se catalogan 114 controles de seguridad. Un activo es aquella entidad que tiene valor para la organización y por consiguiente debe ser objeto de protección. Una de las cosas que diferencia la gestión moderna de la seguridad de la información es la relevancia que los SGSI tienen por las medidas de seguridad sobre el personal. Los controles que deben tenerse en cuenta en cuanto a los recursos humanos son: el alta y la baja del empleado, las funciones, obligaciones, derecho, formación y sensibilización de los usuarios.

La Seguridad de la Información tiene por objetivo proteger el funcionamiento de un determinado negocio. Para conocer y gestionar la seguridad, con el objeto de tomar medidas que minimicen los riesgos, se utilizan los sistemas de gestión de la seguridad (SGSI). Un SGSI es un sistema cuya finalidad es asegurar la supervivencia de un negocio, para ello, se debe tener en cuenta el gasto que se invertiría en seguridad y el daño que provocaría la perdida de los activos. Para desarrollar un SGSI de forma sistematizada existe la serie de normas ISO/IEC 27000.

SEGURIDAD EN LAS TELECOMUNICACIONES  PONDERACIÓN  NIVEL DE AMENAZA PROBABILIDAD DE PROTECCIÓN RIESGO CUBIERTO RIESGO PONDERADO  CONTROLES DE RED 10% 5 22,00% 1,1 0,11 MECANISMOS DE SEGURIDAD ASOCIADOS A SERVICIOS EN RED 9% 3 33,00%  0,99 0,0891 SEGREGACIÓN DE REDES  15% 7 15,00% 1,05 0,1575 POLÍTICAS Y PROCEDIMIENTOS DE INTERCAMBIO DE INFORMACIÓN 15% 1 65,00% 0,65 0,0975 ACUERDOS DE INTERCAMBIO  11% 9 95,00% 8,55 0,9405 MENSAJERÍA ELECTRÓNICA  18% 4 48,00% 1,92 0,3456 ACUERDOS DE CONFIDENCIALIDAD Y SECRETO  22% 10 75,00% 7,5 1,65 TOTALES  100% 39 50,43% TOTAL COBERTURA MEDIA EN MI EMPRESA  NIVEL DE AMENAZA GLOBAL PROBABILIDAD MEDIA RIESGO LABORAL RIESGO GLOBAL PONDERADO

Normalmente se utilizan diversos términos para referirse a la seguridad, como son: la Seguridad de la Información, Seguridad Informática, Seguridad en las TIC y Ciberseguridad. Sin embargo, el término Ciberseguridad incluye un rasgo diferente y especial al resto de términos, como es el ciberespacio. La Ciberseguridad es el conjunto de herramientas, políticas, conceptos de seguridad, salvaguardas de seguridad, directrices, métodos de gestión de riesgos, acciones, formación, prácticas idóneas, seguros y tecnologías que pueden utilizarse para proteger los activos de la organización y los usuarios en el ciberentorno. Las propiedades de la seguridad son: disponibilidad, integridad y confidencialidad, es el denominado Modelo CIA.

DOMINIO DE SEG. LIGADA A LOS RECURSOS HUMANOS PONDERACIÓN  NIVEL DE AMENAZA PROBABILIDAD DE PROTECCIÓN RIESGO CUBIERTO INVESTIGACIÓN DE ANTECEDENTES  15% 5 0,23 1,15 TÉRMINOS Y CONDICIONES DE CONTRATACIÓN 15% 4 0,11 0,44 RESPONSABILIDADES DE GESTIÓN 20% 7 0,08 0,56 CONCIENCIACIÓN, EDUCACIÓN Y CAPACITACIÓN EN SEGUR. DE LA INFORMACIÓN 30% 8 0,65 5,2 PROCESO DISCIPLINARIO  10% 6 0,74 4,44 CESE O CAMBIO DE PUESTO DE TRABAJO  10% 3 0,53 1,59

Las redes sociales permiten la interrelación entre las personas, pudiendo dichas personas compartir informaciones de todo tipo, pero generalmente son informaciones personales. Las redes sociales se han convertido en algo muy habitual en la vida de las personas, sin embargo, en numerosas ocasiones se realizan malos usos de dicha herramienta, como pueden ser los delitos: ciberbullying, sextorsión, grooming, etc.   Pese a lo malos usos realizados por numerosas personas, existen una serie de medidas que permiten evitar o aminorar los efectos derivados de ellos, como son los antivirus, cortafuegos, contraseñas, etc. 

Las redes se pueden clasificar en diversos tipos, de los que destaca: redes LAN , son redes locales, que suelen abarcar edificios, en el que los ordenadores están conectados por cables debido a la poca distancia existente entre ella;  y las redes WAN , comprende una región amplia, por ello, los dispositivos se conectan por satélites, líneas telefónicas, etc.   Se trata todo tipo de temas relacionados con las conexiones existentes entre los dispositivos, las cuales van acompañadas de ejercicios prácticos, útiles para reforzar todo lo aprendido en el tema. 

Las fases del procesamiento de datos son: la entrada, el proceso y las salida. La unidad básica en el que se mide la información digital es el Bit, que está formado por los ceros y unos del que consta la información digital. Además de ello, lo fundamental es la diferencia entre Hardware y Software. El Hardware son los elementos físicos de los que se compone un ordenador (cables, tarjetas, etc), mientras que el Software se conforma de los programas y elementos lógicos. En definitivas el primer tema trata todo lo relacionado con la estructura del ordenador, y por tanto, constituye el primer paso para todo aquel que pretende incorporarse al mundo de la informática, que viene reforzado por las prácticas hechas.

       DOMINIOS DE SEGURIDAD  PONDERACIÓN NIVEL DE AMENAZA  PROBABILIDAD DE PROTECCIÓN  RIESGO CUBIERTO  RIESGO PONDERADO Políticas de Seguridad 12% 8 12,00% 0,96 0,1152 Aspectos Organizativos de Seguridad de Inf. 5% 6 53,00% 3,18 0,159 Seguridad ligada a los RRHH 8% 3 48,00% 1,44 0,1152 Gestión de Activos 8% 1 8,00% 0,08 0,0064 Control de Accesos 9% 8 36,00% 2,88 0,2592 Cifrado 1% 3 98,00% 2,94 0,0294 Seguridad Física y Ambiental 4% 10 73,00% 7,3 0,292 Seguridad en la Operativa 5% 0 16,00% 0 0 Seguridad en las Telecomunicaciones 7% 7 29,00% 2,03 0,1421 Adquisición, Desarrollo y Mantenimiento 9% 9 22,00% 1,98 0,1782 Relaciones con Suministradores  8% 8 37,00% 2,96 0,2368 ...

La norma  ISO 27002 se encuentra estructurada en 14 capítulos  que describen las áreas que se deben considerar para garantizar la seguridad de la información de las que se dispone. El documento recomienda un total de 114 controles, si bien no  hace falta cumplirlos todos , sí que hay que tenerlos en cuenta y considerar su posible aplicación, además del grado de la misma.  A continuación, se realiza una breve revisión de cada uno de los 14 capítulos:  1. Políticas de Seguridad de la Información  En ella, se refleja la importancia que ocupa la disposición de una adecuada política de seguridad, aprobada por la dirección, comunicada a todo el personal, revisada de forma periódica y actualizada con los cambios que se producen en el interior y en el exterior. 2. Organización de la Seguridad de la Información  Se busca estructurar un marco de seguridad eficiente tanto mediante los roles, tareas, seguridad, etc, como en los dispositivos móv...