INFORMÁTICA URJC: CRIMINOLOGÍA #22

OSINT Podemos definir inteligencia como el producto resultante de la recolección, evaluación, análisis, integración e interpretación de toda la información disponible, y que es inmediatamente o potencialmente significativa para la planificación y las operaciones.  Por otro lado, se entiende como ciclo de inteligencia a la secuencia mediante la cual se obtiene información, se transforma en inteligencia y se pone a disposición de los usuarios. En resumen es la forma en la que se organizan la mayoría de los servicios de inteligencia con las particularidades de cada uno. El Ciclo de Inteligencia según los Servicios de Inteligencia Nacionales consta de cuatro fases:  Dirección.  Obtención.  Elaboración.  Difusión.

Con las IPs obtenidas en el ejercicio anterior, correspondientes al servidor de correo, localizaremos su ubicación e información de entidades asociadas.

El objetivo de esta práctica es ponernos en el lugar de un ciberdelincuente y utilizar Maltego como herramienta de inteligencia. La primera vez que entremos tendremos que registrarnos. Pulsamos el botón New, para crear un nuevo graph. Sobre la entidad MX pulamos botón derecho para ejecutar una nueva trasformación “To IP address[DNS],el objetivo es conocer las direcciones IP del servidor de correo:

Para poder realizar búsquedas avanzadas que permitan obtener ciertos datos de valor es necesario utilizar operadores. Vamos a utilizar algunos de ellos tener una idea de la operatividad que permiten. -  site: Permite definir una búsqueda que muestre los resultados de un sitio en concreto. filetype: encontrará unos determinados tipos bien conocidos como: pdf, doc, docx, xml, txt... : 

Ver la lista de tareas que están corriendo en el sistema usando Sysinternals.

Ejecutaremos el comando netstat –an | more

Ejecutaremos el comando msinfo32

En esta actividad vamos a realizar un volcado de memoria del equipo mediante la herramienta FTK Imager. El volcado de memoria es uno de los aspectos más importantes y críticos de la fase de adquisición.

En esta actividad se hará uso de los comandos. Para ello, se sigue los siguientes pasos: - Introducimos date /t para que nos dé la fecha del sistema. - Después introducimos time /t para que nos de la hora. - Ahora vamos a realizar esta misma actividad pero de manera más elegante. Vamos a ordenar a las instrucciones date y time que la información que nos dan la guarde a un fichero de texto, en vez de mostrarla en pantalla. Primero lo hacemos sólo con el comando date:         ◦ date /t > fechayhora.txt  - Dentro del fichero fecha.txt tendremos la fecha del sistema. Ahora vamos hacer lo mismo pero añadiendo también la hora.         ◦ time /t >> fechayhora.txt El fichero de texto queda así:

FENOMENOLOGÍA E INVESTIGACIÓN DE DELITOS INFORMÁTICOS Delito informático es cualquier tipo de acción delictiva para cuya comisión se utilicen tecnologías de información y/o comunicaciones. El ciberespacio proporciona un entorno propicio al carecer de una legislación propia y ser un entorno virtual que facilita el anonimato y la ocultación. La investigación de estos delitos será compleja puesto que pasamos de un escenario nacional a uno internacional, donde una acción delictiva pueda afectar a varias estados, con víctimas de diferentes países. Diferentes juristas y expertos de reconocido prestigio coinciden en establecer una serie de características de estos tipos de delitos : • Transnacionalidad. • Investigación rápida. • Distancia física. • Competencia territorial y ubicuidad. • Complejidad.

DELITO INFORMÁTICO Algunos autores definen el delito informático como “el conjunto de conductas antijurídicas relacionadas con el tratamiento automático de la información por medio de ordenadores”. El derecho anglosajón ha definido el delito informático como “Computer Crime” y lo ha circunscrito a dos acciones:  Utilizar ordenadores con el fin de defraudar bienes o servicios sin autorización.  La alteración, daños, perjuicios de ordenadores o su contenidos sin autorización. Por otro lado, según la legislación Europea, más concretamente según el Convenio del Consejo de Europa sobre Ciberdelincuencia tenemos que el delito de informática esta compuesto por la falsificación informática y fraude informático.

eGarante mail puede ser muy útil para enviar informes, contratos o si necesitamos certificar que hemos enviado dichos documentos. Funcionamiento : Según la descripción que aparece en la página web de eGarante el funcionamiento es el siguiente: 1. El usuario manda un correo electrónico a un destinatario poniendo en copia a eGarante. 2. eGarante recibe el correo y certifica su contenido, fecha, emisor y destinatarios. 3. Envía una copia de dicha certificación junto con una copia del correo original al/los destinatarios y guarda el acuse de recibo de su servidor. 4. Completa la certificación del correo original con la información de entrega y envía dicha certificación al emisor

La herramienta de egarante pertenece a una empresa que ofrece servicios profesionales de certificación y tiene una versión gratuita. La herramienta ofrece la posibilidad de certificar los contenidos públicos de redes sociales, para que puedan ser adjuntados en una denuncia con plenas garantías jurídicas. Seguimos las instrucciones de la página web que consisten en: 1. Enviar un correo electrónico a la dirección websigned@egarante.com. 2. En el asunto ponemos a la URL que vamos a certificar. 3. No se pone nada más ni el asunto ni en el cuerpo del mensaje.

REDES BOTNET  Botnet o red de ordenadores zombis es el conjunto formado por ordenadores infectados por un tipo de software malicioso, que permite al atacante controlar dicha red de forma remota. Los equipos que integran la red se denominan “zombis”, o también drones.  El método de control o protocolo de comunicación de la botnet es su núcleo y ofrece diferentes posibilidades al atacante, desde el control de forma segmentada (canales de IRC) al control por medio de sistemas de nombre de dominio (DNS) o control a través de la navegación web (HTTP), entre otros.

Httrack es una herramienta que permite la descarga de un sitio web completo para su posterior análisis y navegación ofline. Para ello, hacemos uso y así comprobar su utilidad. En la siguiente imagen se puede observar un ejemplo del resultado que nos aporta dicha Herramienta:

El documento proporcionado por INTECO (Instituto Nacional de Tecnologías de la Información) en su Cuaderno de Notas del Observatorio BOTNETS, permite conocer  si nuestro equipo está infectado y pertenece a una botnet. Es el ya visto en el post anterior, que permite saber la conexión de nuestro equipo.

Código Malicioso  Malware es un vocablo que proviene del acrónimo de dos palabras inglesas, malicious software. Es un término creado por el profesor y teórico israelí Yisrael Radai en 1990. Un software catalogado como malware se caracteriza por su intencionalidad, no se debe a errores de diseño. Se ha creado ex profeso para realizar una actividad perniciosa para la información o el sistema que la alberga. El tipo de software malicioso es numeroso y variado, su forma de clasificación también puede ser variada, si bien la forma más aceptada es por su propósito. Así, una clasificación clásica de este tipo de software sería: - Para infectar sistemas: Gusanos y Virus. - Para ocultamiento de otros tipos de malware: Rootkits, troyanos, puertas traseras (backdors). - Para robo de información: Keyloggers, stealer. - Mostrar publicidad: Adware, Hijacking. - Beneficios económicos: Dialers, Ransomware, ATM, PoS malware. - Realizar ataques distribuidos: Botnets

La página de la Oficina de Seguridad del Internauta (OSI) del INCIBE, nos permite conocer si la conexión que tenemos a internet es segura, de tal manera que nos aporta información de si nuestro ordenador pertenece a alguna red Botnet.

En esta actividad se nos presenta la oportunidad de conocer y utilizar el Boletín de Seguridad Microsoft, que es una de las múltiples fuentes de información que existen para estar al día de los problemas y defectos en el software. En ella se puede informaciones como:

En este post presentaremos un servicio online, Virus Total, que permite verificar si un fichero está infectado con malware. De tal manera que Virus Total nos permite hacer uso de ella siempre que tenemos duda de la procedencia de una archivo y queremos comprobar si no está infectado. Es un servicio de fácil uso, dado que únicamente debemos incorporar el fichero que deseamos analizar, de tal manera que el resultado que da es la siguiente: